[아키텍쳐의 근본적인 문제로 보안 툴 쓸모 없어…문제 해결하려면 천문학적 시간과 비용 필요]

오라클(Oracle Corp., oracle.com) 데이터베이스 플래그쉽 모델이며 최신 버전인 11g의 보안체계에 ‘우습쟎은(stupid)’ 취약점들이 있어 데이터 유출이 쉽게됐다고 한 전문가가 지난 3일 주장했다.

美 컴퓨터월드(computerworld.com)에 따르면 보안상의 이 취약점은 프로그래밍 에러 때문이다. 이같은 사실은 말레이지아의 쿠알라 룸푸르에서 지난 3일 개최된 HITB 보안 칸퍼런스 2007(Hack in the Box Security Conference 2007) 중의 한 인터뷰에서 레드 데이터베이스 시큐리티(Red Database Security GmbH)의 창업자이며 CEO인 알렉산더 코른브루스트(Alexander Kornburst)가 밝혔다.

유해코드 침입에 취약: 개발자 교육 철저해야

코른브루스트는 이러한 문제가 재발하지 않게하려면 오라클이 개발자 교육을 철저히 시켜야할 것이라고 말했다. 개발자들은 보통 이러한 단순한 보안상 취약점을 무시하고 지나가는 일이 많다는 것이다. 코른브루스트는 HITB 내내 일련의 문제점들을 밝혀나갈 계획이다.

레드 데이터베이스 시큐리티는 오라클 제품만을 다루는 데이터베이스 및 애플리케이션 서버 관련 전문 업체로 컨설팅, 검사, 교육 등을 주 업무로한다. 코른브루스트는 큰 기업들이 구매한 오라클 데이터베이스의 보안 체계를 감사(audit)하고 소프트웨어를 테스트하며 SQL 인젝션 상의 취약점들을 발견하는 일을 해 왔다. 이 통로로 유해 코드가 주로 침입하기 때문이다.

코른부르스트는 1992년부터 오라클 DBA 및 개발자로 일해왔으며 지난 6년간 오라클의 여러 제품에서 320가지의 보안상의 버그를 리포팅한 바 있다.

근본적 아키텍쳐의 문제: 보안 툴 무력화 가능

코른브루스트는 또 11g와 그 이전 버전의 오라클 데이터베이스들 내에 있는 감사 기능을 피해갈 수 있는 방법이 있다고 말했다. 그러나 그는 이 관한 자세한 내용은 오라클이 문제를 해결한 다음에나 밝힐 것이라고 못박았다.

그가 제시한 일련의 문제점은 오라클 데이터베이스의 아키텍쳐에 근본적인 문제가 있다는 것을 의미한다. 이번 주말에 그는 또, 이러한 아키텍쳐 문제로 인해 침입자가 오라클의 최신 보안 툴을 어떻게 무력화할 수 있는지에 대해 논할 계획이다. 오라클의 ‘최신’ 보안 툴이란 오라클 데이터베이스 볼트(Oracle Database Vault)와 오라클 오딧 볼트(Oracle Audit Vault) 등을 의미한다.

하나의 취약점마다 약 100개의 패치 필요: 엄청난 비용과 시간 들 것

오라클은 데이터베이스의 이러한 구조적 문제점을 해결하기 위해 상상을 초월하는 비용과 시간을 들여야할 것이라고 그는 지적했다. 오라클이 이미 전 세계에 깔아 놓은 플랫폼들의 규모나 현재 대기업들이 오라클 데이터베이스를 이용해 수행하는 업무의 중요성이 크기 때문이라는 것이 그의 설명.

코른브루스트는 한 독일 기업의 예를 들어 이를 뒷받침했다. 그가 언급한 기업은 오라클 데이터베이스를 8000 카피나 구매해서 사용하고 있는데 이 경우 단 하나의 패치만 설치하려해도 카피당 4시간, 회사 전체로는 연 32000 시간이 든다는 것이다.

보통 이런 정도의 일을 수행하려면 회사는 풀타임 데이터베이스 관리자를 약 60명 투입해야한다고 그는 계산했다. 더구나 여기에 해당 패치를 각각의 데이터베이스에서 미리 테스트하는데 필요한 시간과 비용이 따로 필요하다.

더구나 발견되는 모든 취약점에 대해 패치를 ‘붙이려면’ 오라클은 현재 사용되는 데이터베이스 제품의 모든 버전에 필요한 패치를 개발해야한다. 그러나 이것이 보통 문제가 아니다. 각 데이터베이스가 버전이 다르고 이것이 운용되는 하드웨어 플랫폼과 운영체계가 또 각각이기 때문이다. 코른브루스트는 하나의 취약점을 해결하기 위해 약 100개의 패치가 필요할 것이라고 밝혔다.

한편 HITB는 ‘가장 편하게 참가할 수 있는 해커들의 칸퍼런스’를 표방하며 6일까지 열린다. 칸퍼런스에는 유명 해커, 보안 기술 개발자 등이 참여한다.