KISA 보안 취약점 클리닝 서비스, 왜 ‘기술적으로’ 위험한가 Part2
- 또 다시 중앙 집중 구조 기반의 문제 해결 방식
- 또 다시 높은 권한을 활용한 해결책 제시
- 또 다시 공격자에게 유리한 공격면(Attack Surface) 생성
패치라는 이름의 명령 실행 구조
"KISA ‘보안 취약점 클리닝 서비스’, 진짜 문제는 무엇인가 Part1"에서 우리는 KISA 보안 취약점 클리닝 서비스가 등장하게 된 배경과, 이 사업이 추진될 수밖에 없었던 정책·환경적 현실을 확인했다. 그리고 KISA 보안 취약점 클리닝 서비스의 문제라고 지적하지만, 시장의 문제로 KISA가 추진할 수밖에 없는 현실에 대해 살펴봤다. Part2에서는 한 걸음 더 들어가, 이 서비스가 어떤 방식으로 구현되고 동작하는지, 그리고 그 구조가 왜 반복적으로 문제를 일으켜 왔는지를 기술적인 관점에서 짚어볼 예정이다.
Part2의 핵심은 단순히 “취약점이 발견되었다”라는 점이 아니다. 문제는 클리닝 서비스의 취약점 처리 방식 자체가 과거 수차례 대형 침해사고를 유발했던 구조를 그대로 답습하고 있다는 점이다. 목적은 방어지만, 구현 방식은 공격자가 악용하기에 지나치게 익숙한 형태다.
중앙에서 내려오는 ‘패치’, 그리고 모든 노드의 신뢰
KISA 보안 취약점 클리닝 서비스의 구조를 설명하는 그림을 보면 서비스 실행 방식은 비교적 명확하다.
KISA와 유관 기관이 취약점 정보를 수집하고, 이를 소프트웨어 제조사 및 백신사와 공유한다. 제조사는 패치 또는 삭제 정책을 만들고, 이 정보는 다시 KISA의 클리닝 관리 시스템과 클리닝 정책 서버를 거쳐, 최종적으로는 사용자 PC에 설치된 보안 소프트웨어를 통해 실행된다. 즉, 구조의 핵심은 다음과 같다.
2. 수많은 엔드포인트(사용자 PC)가 이를 신뢰하며 수신하고
3. 보안 소프트웨어가 이를 자동으로 실행·적용한다
전반적인 흐름은 자연스럽고 합리적으로 보인다. 더구나 Part1의 KISA 사업 추진 배경에서 언급한 "사용자가 직접 취약한 소프트웨어를 찾고 삭제하거나 업데이트하는 것은 현실적으로 어렵다"라는 점 때문에 중앙 관리 방식이 효과적인 것으로 보이기도 한다. 하지만 이 구조가 기술적으로 무엇을 의미하는지 다시 생각해 보면 사안이 달리 보인다.
패치와 삭제, 그리고 ‘임의 명령 실행’의 경계
KISA 취약점 클리닝 서비스에서 실제로 문제가 되는 단계는 “취약한 소프트웨어를 패치하거나 삭제하는 행위”다. 이 행위는 방어라는 목적 아래 수행되지만, 기술적으로 보면 다음과 같이 해석할 수 있다.
- 중앙에서 내려온 명령을 기반으로
- 로컬 시스템에서 파일을 변경하거나 실행한다
이때 목적을 “패치”로 한정하지 않고 행위 자체의 본질을 보면, 이는 곧 원격 명령 실행(Remote Command Execution, RCE)과 동일하다. 결국 “패치 수행”과 “임의 코드 실행”은 의도의 차이일 뿐, 구조적으로는 동일한 프로토콜 위에 존재한다. 이것이 문제의 시작이다.
백신이라는 매개체, 그리고 SYSTEM 권한
두 번째 해석은 심각성을 더한다. 원격지에서 전달한 명령의 실행이 백신 및 보안 소프트웨어를 매개체로 이루어진다는 점이다. 대부분의 보안 소프트웨어는 마이크로소프트 윈도 환경에서 SYSTEM 권한으로 설치, 실행된다. 바로 이 지점에서 공격자는 막대한 이점을 얻게 된다.
2. 취약점이 하나라도 발생하면, 공격자는 곧바로 SYSTEM 권한 획득
즉, 보안 소프트웨어의 취약점은 원격 코드 실행(RCE)과 로컬 권한 상승(Local Privilege Escalation, LPE)을 동시에 제공하는 것과 동일한 효과를 낸다. 의도되지 않았으나 취약점 클리닝 서비스의 구조는 이처럼 가장 높은 권한과 자동 실행 구조로 되어 있는 것이다.
중앙 집중 구조가 가진 구조적 리스크
또 하나 간과하면 안 되는 점은 네트워크 구조이다. 모든 엔드포인트는 중앙의 클리어링 정책 서버와 백신 패치 서버를 바라본다. 이 말은 중앙 서버가 침해되거나, 정책 전달 경로가 변조될 경우 중앙을 바라보는 모든 엔드포인트에 동일한 행위가 동시에 실행됨을 의미한다. 이는 과거 수차례 현실이 되었던 시나리오이다.
3.20 사이버 테러 사건을 떠올려보자. 공격자는 패치 및 업데이트 관련 권한을 탈취해, 수많은 PC에 악성코드를 배포했다. 이 악성코드는 단순히 실행된 것이 아니라, 정상적인 보안·관리 소프트웨어를 통해 높은 권한으로 실행되었다.
7.7 DDoS는 어떠한가? 웹하드 전용 프로그램의 업데이트 서버가 해킹으로 공격자에게 권한이 넘어갔으며 이로 인한 웹하드 프로그램이 설치된 모든 엔드포인트에 악성코드를 배포할 수 있었다.
알집 업데이트 서버 침해 사건, 이른바 ‘네이트 해킹’ 역시 구조적으로 동일하다. 광고를 담당하는 파일을 중앙에서 내려보내는 구조에서, 공격자는 알집 업데이트 서버를 장악하고 서버를 바라보는 엔드포인트에 악성코드를 동시에 내려보내면서 문제가 발생한 것이다.
이 외에 모의해킹 등을 통해 접하는 기업과 기관 내부의 중앙 관리형 소프트웨어들 역시 정책 다운로드, 원격 명령 실행으로 이어지는 구조적 문제를 지니고 있으며, 이미 수차례 문제를 일으킨 바 있다.
티오리의 기술적 분석과 반복되는 문제
시범 사업 단계에서 티오리는 KISA 보안 취약점 클리닝 서비스의 문제점을 분석하여 공개했다. 앞서 언급한 것과 같이 중앙을 바라보고 있는 구조이므로 엔드포인트에서 원격 명령 실행이 가능하다는 점을 보여주었으며 높은 권한으로 명령이 실행된다는 점도 함께 드러났다. 결국 과거에도 문제가 되어 많은 침해 사례의 대표적인 구조가 다시 한번 등장했으며 문제가 된다는 점을 보여준 것이라 할 수 있다.
KISA 보안 취약점 클리닝 서비스 MITM RCE DEMO by Theori
나아가 티오리에서는 지적한 것 중 중요한 점은 취약점이 발견되었으며 패치되었다는 것이 아닌 아래의 구조적 순환이다.
- 또 하나의 높은 권한 보안 기능을 추가하고
- 그 기능이 다시 공격 표면이 되는 흐름
우리는 이미 위와 같은 흐름으로 많은 침해사고를 경험했음에도 불구하고 구조를 답습하고 있으며 향후 발생할지 모르는 공격 표면을 만들었다는 점을 다시 한번 생각했으면 한다.
이제는 새로운 또는 발전된 신뢰 시스템 구축
KISA 보안 취약점 클리닝 서비스의 취지 자체를 부정할 수는 없다. 사용자가 오래된 보안 소프트웨어를 직접 관리하기 어렵다는 점 역시 현실이다. 문제는 목표가 아니라, 그 목표를 달성하기 위해 선택한 방식이다. 우리는 여전히 “높은 권한의 보안 프로그램 위에 또 하나의 높은 권한 기능을 추가하는 방식”을 가장 손쉬운 해법으로 받아들이고 있다.
이제 질문은 “문제가 발생했으니 어떤 기능을 더 얹을 것인가”가 아니라, “보다 신뢰할 수 있는 보안 구조를 만들기 위해 무엇을 바꿔야 하는가”로 전환되어야 한다. 단일 기능을 추가하는 처방식 대응이 아니라, 권한 분리·검증 가능성·실행 통제와 같은 요소를 단계적으로 쌓아 올리며 신뢰도를 높이는 접근이 필요하다.
그럼에도 우리는 오랫동안 하나의 정답을 요구하는 방식에 익숙해져 왔다. 보안 문제 역시 새로운 제품이나 기능 하나를 도입하면 해결될 것이라 기대해 왔다. 그러나 수많은 시스템과 이해관계가 얽힌 오늘날의 환경에서, 보안은 더 이상 단일 해법으로 완결될 수 없다. 보안 제품 하나를 추가한다고 해서 전체 시스템이 안전해지지는 않는다.
KISA 보안 취약점 클리닝 서비스가 던진 논쟁은 특정 사업의 성패를 넘어선다. 이는 한국 보안 생태계가 지난 수십 년간 신뢰를 어떤 방식으로 쌓아왔는지, 그리고 그 방식이 지금도 유효한지에 대한 질문에 가깝다. 대한민국이 보유한 디지털 자산의 규모와 중요성을 고려할 때, 이제는 ‘무엇을 더 얹을 것인가’가 아니라 ‘어떤 구조 위에 신뢰를 다시 세울 것인가’를 고민해야 할 시점이다. 🆃🆃🅔
Related Materials
- [1] 사이버테러에 대한 해킹공격 분석과 전조 현상 분석 - 한국정보기술학회 , 2013년
- [2] DDoS 공격 유형과 7.7 DDoS 사례 분석 - 중소기업융합학회 논문지 , 2014년
- [3] 3.20 사이버테러 중간 조사결과 발표 - 대한민국 정부 브리핑 , 2013년
- [4] 미래인터넷 보안 기술동향: 7.7·3.4 DDoS 대란 이후 보안 이슈 - ETRI 전자통신동향분석 , 2010년
- [5] 기관 특성을 반영한 사이버보안 실태평가 체계 연구 - 한국사이버안보학회 , 2025년
Donghwi Shin
Donghwi Shin
![[TE머묾] 이민국에 대항하는 미국 시민들, 한국에도 힌트가 되다](https://images.unsplash.com/photo-1762468046498-461933328de6?crop=entropy&cs=tinysrgb&fit=max&fm=jpg&ixid=M3wxMTc3M3wwfDF8c2VhcmNofDIyfHxjaXRpemVuc2hpcHxlbnwwfHx8fDE3Njc4ODE0NjR8MA&ixlib=rb-4.1.0&q=80&w=600)
