TTESays

KISA 보안 취약점 클리닝 서비스, 왜 ‘기술적으로’ 위험한가 Part2

Donghwi Shin

Donghwi Shin

KISA 보안 취약점 클리닝 서비스, 왜 ‘기술적으로’ 위험한가 Part2
Photo by Zulfugar Karimov / Unsplash
💡
Editor Pick
- 또 다시 중앙 집중 구조 기반의 문제 해결 방식
- 또 다시 높은 권한을 활용한 해결책 제시
- 또 다시 공격자에게 유리한 공격면(Attack Surface) 생성

패치라는 이름의 명령 실행 구조

"KISA ‘보안 취약점 클리닝 서비스’, 진짜 문제는 무엇인가 Part1"에서 우리는 KISA 보안 취약점 클리닝 서비스가 등장하게 된 배경과, 이 사업이 추진될 수밖에 없었던 정책·환경적 현실을 확인했다. 그리고 KISA 보안 취약점 클리닝 서비스의 문제라고 지적하지만, 시장의 문제로 KISA가 추진할 수밖에 없는 현실에 대해 살펴봤다. Part2에서는 한 걸음 더 들어가, 이 서비스가 어떤 방식으로 구현되고 동작하는지, 그리고 그 구조가 왜 반복적으로 문제를 일으켜 왔는지를 기술적인 관점에서 짚어볼 예정이다.

Part2의 핵심은 단순히 “취약점이 발견되었다”라는 점이 아니다. 문제는 클리닝 서비스의 취약점 처리 방식 자체가 과거 수차례 대형 침해사고를 유발했던 구조를 그대로 답습하고 있다는 점이다. 목적은 방어지만, 구현 방식은 공격자가 악용하기에 지나치게 익숙한 형태다.

중앙에서 내려오는 ‘패치’, 그리고 모든 노드의 신뢰

KISA 보안 취약점 클리닝 서비스의 구조를 설명하는 그림을 보면 서비스 실행 방식은 비교적 명확하다.

보안 취약점 클리닝 체계(출처: KISA)

KISA와 유관 기관이 취약점 정보를 수집하고, 이를 소프트웨어 제조사 및 백신사와 공유한다. 제조사는 패치 또는 삭제 정책을 만들고, 이 정보는 다시 KISA의 클리닝 관리 시스템과 클리닝 정책 서버를 거쳐, 최종적으로는 사용자 PC에 설치된 보안 소프트웨어를 통해 실행된다. 즉, 구조의 핵심은 다음과 같다.

💻
1. 중앙 서버가 정책과 패치 정보를 정의하고
2. 수많은 엔드포인트(사용자 PC)가 이를 신뢰하며 수신하고
3. 보안 소프트웨어가 이를 자동으로 실행·적용한다

전반적인 흐름은 자연스럽고 합리적으로 보인다. 더구나 Part1의 KISA 사업 추진 배경에서 언급한 "사용자가 직접 취약한 소프트웨어를 찾고 삭제하거나 업데이트하는 것은 현실적으로 어렵다"라는 점 때문에 중앙 관리 방식이 효과적인 것으로 보이기도 한다. 하지만 이 구조가 기술적으로 무엇을 의미하는지 다시 생각해 보면 사안이 달리 보인다.

패치와 삭제, 그리고 ‘임의 명령 실행’의 경계

KISA 취약점 클리닝 서비스에서 실제로 문제가 되는 단계는 “취약한 소프트웨어를 패치하거나 삭제하는 행위”다. 이 행위는 방어라는 목적 아래 수행되지만, 기술적으로 보면 다음과 같이 해석할 수 있다.

- 특정 조건을 만족하면,
- 중앙에서 내려온 명령을 기반으로
- 로컬 시스템에서 파일을 변경하거나 실행한다

이때 목적을 “패치”로 한정하지 않고 행위 자체의 본질을 보면, 이는 곧 원격 명령 실행(Remote Command Execution, RCE)과 동일하다. 결국 “패치 수행”과 “임의 코드 실행”은 의도의 차이일 뿐, 구조적으로는 동일한 프로토콜 위에 존재한다. 이것이 문제의 시작이다.

💡
패치/삭제 기능은 문맥만 바뀌면 곧바로 임의 명령 실행 구조가 된다.

백신이라는 매개체, 그리고 SYSTEM 권한

두 번째 해석은 심각성을 더한다. 원격지에서 전달한 명령의 실행이 백신 및 보안 소프트웨어를 매개체로 이루어진다는 점이다. 대부분의 보안 소프트웨어는 마이크로소프트 윈도 환경에서 SYSTEM 권한으로 설치, 실행된다. 바로 이 지점에서 공격자는 막대한 이점을 얻게 된다.

1. 보안 소프트웨어는 탐지 우회를 위한 최적의 위장 수단
2. 취약점이 하나라도 발생하면, 공격자는 곧바로 SYSTEM 권한 획득

즉, 보안 소프트웨어의 취약점은 원격 코드 실행(RCE)과 로컬 권한 상승(Local Privilege Escalation, LPE)을 동시에 제공하는 것과 동일한 효과를 낸다. 의도되지 않았으나 취약점 클리닝 서비스의 구조는 이처럼 가장 높은 권한과 자동 실행 구조로 되어 있는 것이다.

중앙 집중 구조가 가진 구조적 리스크

또 하나 간과하면 안 되는 점은 네트워크 구조이다. 모든 엔드포인트는 중앙의 클리어링 정책 서버와 백신 패치 서버를 바라본다. 이 말은 중앙 서버가 침해되거나, 정책 전달 경로가 변조될 경우 중앙을 바라보는 모든 엔드포인트에 동일한 행위가 동시에 실행됨을 의미한다. 이는 과거 수차례 현실이 되었던 시나리오이다.

3.20 사이버 테러 사건을 떠올려보자. 공격자는 패치 및 업데이트 관련 권한을 탈취해, 수많은 PC에 악성코드를 배포했다. 이 악성코드는 단순히 실행된 것이 아니라, 정상적인 보안·관리 소프트웨어를 통해 높은 권한으로 실행되었다.

7.7 DDoS는 어떠한가? 웹하드 전용 프로그램의 업데이트 서버가 해킹으로 공격자에게 권한이 넘어갔으며 이로 인한 웹하드 프로그램이 설치된 모든 엔드포인트에 악성코드를 배포할 수 있었다.

알집 업데이트 서버 침해 사건, 이른바 ‘네이트 해킹’ 역시 구조적으로 동일하다. 광고를 담당하는 파일을 중앙에서 내려보내는 구조에서, 공격자는 알집 업데이트 서버를 장악하고 서버를 바라보는 엔드포인트에 악성코드를 동시에 내려보내면서 문제가 발생한 것이다.

이 외에 모의해킹 등을 통해 접하는 기업과 기관 내부의 중앙 관리형 소프트웨어들 역시 정책 다운로드, 원격 명령 실행으로 이어지는 구조적 문제를 지니고 있으며, 이미 수차례 문제를 일으킨 바 있다.

티오리의 기술적 분석과 반복되는 문제

시범 사업 단계에서 티오리는 KISA 보안 취약점 클리닝 서비스의 문제점을 분석하여 공개했다. 앞서 언급한 것과 같이 중앙을 바라보고 있는 구조이므로 엔드포인트에서 원격 명령 실행이 가능하다는 점을 보여주었으며 높은 권한으로 명령이 실행된다는 점도 함께 드러났다. 결국 과거에도 문제가 되어 많은 침해 사례의 대표적인 구조가 다시 한번 등장했으며 문제가 된다는 점을 보여준 것이라 할 수 있다.

KISA 보안 취약점 클리닝 서비스 MITM RCE DEMO by Theori

나아가 티오리에서는 지적한 것 중 중요한 점은 취약점이 발견되었으며 패치되었다는 것이 아닌 아래의 구조적 순환이다.

💡
- 오래된 보안 프로그램 문제 해결을 위해
- 또 하나의 높은 권한 보안 기능을 추가하고
- 그 기능이 다시 공격 표면이 되는 흐름

우리는 이미 위와 같은 흐름으로 많은 침해사고를 경험했음에도 불구하고 구조를 답습하고 있으며 향후 발생할지 모르는 공격 표면을 만들었다는 점을 다시 한번 생각했으면 한다.

이제는 새로운 또는 발전된 신뢰 시스템 구축

KISA 보안 취약점 클리닝 서비스의 취지 자체를 부정할 수는 없다. 사용자가 오래된 보안 소프트웨어를 직접 관리하기 어렵다는 점 역시 현실이다. 문제는 목표가 아니라, 그 목표를 달성하기 위해 선택한 방식이다. 우리는 여전히 “높은 권한의 보안 프로그램 위에 또 하나의 높은 권한 기능을 추가하는 방식”을 가장 손쉬운 해법으로 받아들이고 있다.

이제 질문은 “문제가 발생했으니 어떤 기능을 더 얹을 것인가”가 아니라, “보다 신뢰할 수 있는 보안 구조를 만들기 위해 무엇을 바꿔야 하는가”로 전환되어야 한다. 단일 기능을 추가하는 처방식 대응이 아니라, 권한 분리·검증 가능성·실행 통제와 같은 요소를 단계적으로 쌓아 올리며 신뢰도를 높이는 접근이 필요하다.

그럼에도 우리는 오랫동안 하나의 정답을 요구하는 방식에 익숙해져 왔다. 보안 문제 역시 새로운 제품이나 기능 하나를 도입하면 해결될 것이라 기대해 왔다. 그러나 수많은 시스템과 이해관계가 얽힌 오늘날의 환경에서, 보안은 더 이상 단일 해법으로 완결될 수 없다. 보안 제품 하나를 추가한다고 해서 전체 시스템이 안전해지지는 않는다.

KISA 보안 취약점 클리닝 서비스가 던진 논쟁은 특정 사업의 성패를 넘어선다. 이는 한국 보안 생태계가 지난 수십 년간 신뢰를 어떤 방식으로 쌓아왔는지, 그리고 그 방식이 지금도 유효한지에 대한 질문에 가깝다. 대한민국이 보유한 디지털 자산의 규모와 중요성을 고려할 때, 이제는 ‘무엇을 더 얹을 것인가’가 아니라 ‘어떤 구조 위에 신뢰를 다시 세울 것인가’를 고민해야 할 시점이다. 🆃🆃🅔

KISA ‘보안 취약점 클리닝 서비스’, 진짜 문제는 무엇인가 Part1
💡Editor Pick - KISA 보안 취약점 클리닝 서비스에 관한 서로 다른 시선 - 서로 다른 의견의 이유 그리고 현실과 이상의 괴리감 금융보안 소프트웨어 취약점 등을 비롯해 국내 소프트웨어의 취약점을 악용해 지속적으로 악성코드가 유포되는 가운데, 한국인터넷진흥원(KISA)은 ‘보안 취약점 클리닝 서비스’를 사업을 추진했다. 한국인터넷진흥원은 7월, 잉카인터넷의 nProtect 엔진을 활용해
The Tech EdgeDonghwi Shin
[OWASP 시리즈] OWASP Top10 2025 RC: 최신 웹 애플리케이션 보안 전망과 주요 변화
OWASP Top10 2025의 RC(Release Candidate) 버전이 공개되었다. 이번 2025년판은 이전 에디션과 달리, 두 가지 새로운 카테고리가 추가되고 기존 항목이 통합되는 등의 구조적인 변화를 보여 준다. 이번 2025 RC는 OWASP Top10의 8번째 개정판으로, 데이터 기반 위험 분석을 한층 강화하는 동시에 기존 버전에서 제기된 여러 한계점을 보완하려는 시도가 돋보인다. 이번 기사는
The Tech EdgeDonghwi Shin

Read more

값싼 소프트웨어의 나라 Part2

값싼 소프트웨어의 나라 Part2

💡Editor Pick - 우리나라 소프트웨어 산업은 경제 규모 대비 어떠한가? - 우리나라 소프트웨어는 값싸고 저렴하다? - 구조적인 문제가 있다면 고쳐야 하나 설명이 쉽지 않다. - 꼬리를 물면서 강화되는 이슈의 고리를 끊어야 한다. 구조 속에서 선택지를 잃어버린 공급사, 그리고 다음 질문 Part 1에서 살펴본 구조는 "소프트웨어 공급사는 어떤 위치에 놓여

By Donghwi Shin, Jin Kwak
값싼 소프트웨어의 나라 Part1

값싼 소프트웨어의 나라 Part1

💡Editor Pick - 우리나라 소프트웨어 산업은 경제 규모 대비 어떠한가? - 우리나라 소프트웨어는 값싸고 저렴하다? - 구조적인 문제가 있다면 고쳐야 하나 설명이 쉽지 않다. - 꼬리를 물면서 강화되는 이슈의 고리를 끊어야 한다. 값싼 소프트웨어의 나라를 만드는 구조 소프트웨어 산업을 이야기할 때, 우리는 공급사의 기술력, 인재 부족을 원인을 지목한다. 그러나 실제

By Donghwi Shin, Jin Kwak
미국 강타한 MAGA, 사실은 ‘신토불이’ 정신?

미국 강타한 MAGA, 사실은 ‘신토불이’ 정신?

💡Editor's Pick - 미국 기업들의 갑작스러운 애국심 고취 현상 - Made in America를 전면에 내세우기 시작 - 니어쇼어링과 오프쇼링 기조에 따르는 움직임 미국 기업들 사이에서 새로운 MAGA 유행의 조짐이 보인다. ‘미국을 다시 위대하게 만든다’는 그 MAGA가 아니다. ‘Made-in-America or Go Away’의 MAGA인데, 신기하게 한글로 번역해도 그대로

By 문가용 기자