|

[영상] 폐쇄망 환경 ‘공급망 공격’ 방어 방법은

YouTube video

2010년 9월, 이란 부셰르 원전과 나탄즈 핵시설이 악성코드로 인해 가동이 멈추는 초유의 사건이 발생했습니다.

‘스턱스넷(StuxNet)’이란 악성코드가 원심분리기를 조작해 핵 시설을 파괴한 것인데요. USB 메모리를 통해 원전 제어시설을 감염시켰습니다.

4년 뒤인 2014년 12월, 한국수력원자력에서도 해킹으로 원전 설계도를 포함한 내부자료가 유출되는 사고가 일어났습니다.

악성 이메일, 즉 스피어피싱을 이용한 공격으로 PC 하드디스크 파괴까지 시도한 지능형 표적공격이었는데요. 해킹그룹은 당시 소셜미디어 등 인터넷에 한수원 자료를 연일 게재하며 협박하기도 했습니다. 바로 사이버심리전까지 감행한 것이죠.

유출된 자료는 한수원 협력업체 관계자들의 PC와 이메일에 보관돼 있던 것들로 파악됐습니다.

최근 사이버공격자들은 ‘공급망 공격(Supply Chain Attack)’을 지능적인 해킹수법으로 사용하고 있습니다.

공격대상조직에 침투하기 어려운 경우 해당 조직이 사용하는 소프트웨어나 하드웨어 개발업체에 침투해 악성코드를 감염시키고 백도어를 삽입하는 공격입니다. 소프트웨어 소스코드를 수정하고 업데이트 서버에 침투하기도 합니다.

악성코드가 심어진 프로그램이 다수에게 배포되는 대형 사고로 이어지고 있습니다.

대표적인 사례가 바로 2019년 3월 글로벌 PC 제조사인 에이수스(ASUS)를 공격해 수많은 PC를 감염시킨 ‘오퍼레이션 섀도우해머(Operation ShadowHammer)’ 공격입니다.

원자력발전소같은 핵심 기반시설은 안전지대가 아닙니다.

망분리를 했거나 폐쇄망을 운영하고 있어 안전하다고요?

장비 업데이트와 패치를 위해서라도 외부와 연결되는 일이 생깁니다. 이 때 위협요소가 얼마든지 내부로 들어올수 있다는 얘기입니다.

그렇다면 국가 주요기반시설 보안 강화를 위한 방법은 무엇이 있을까요.

만일 폐쇄망으로 유입되는 파일의 악성 여부를 사전 검증하는 것이 필요합니다.

행정안전부 주요정보통신기반시설 보호지침 훈령 제7호(기술적 보호조치).

제어시스템 단말기는 망간 혼용사용을 금지하고 제어망 내 자료 이동이 불가피할 경우 전용 단말기를 지정하도록 하고 있습니다. 백신으로 감염여부를 검사한 뒤에 자료를 이동해야 합니다. 자료를 반입할 때에는 반드시 광디스크(CD/DVD)를 사용해야 합니다.

군, 정부기관을 포함해 주요 기반시설은 악성코드를 검사하기 위한 ‘클린PC’를 운영하고 있습니다.

과연 제대로 운영관리되고 있을까요?

많은 분들이 사실상 무용지물이라고 이야기합니다. 감사가 나올 때만 하는 척하기 일쑤란 이야기죠. 파일 무결성을 검증하는 것에 한계가 있고, 이력관리도 수기로 해야 하기 때문에 불편하다는 이야기가 나옵니다.

클린PC 대체제로 보안 키오스크가 등장했습니다.

국가보안기술연구소가 2017년 12월에 처음 보안 키오스크를 개발했습니다. 이 기술을 토대로 만든 상용 솔루션이 나왔습니다.

바로 소프트캠프의 게이트엑스캐너인데요.

보안키오스크는 USB나 CD 저장매체를 이용해 내부로 유입되는 모든 파일을 검사합니다. 파일의 악성 여부와 무결성을 검증하는 것이죠.

(시연) 사용자를 인증한 뒤 저장매체를 꽂으면 보안 키오스크에 설치돼 있는 안티바이러스(백신)가 악성코드 감염 여부를 검사, 치료한다. 파일 무결성까지 검증할 수 있다. 검증돼 안전한 파일만 광디스크로 제작해 내부로 반입할 수 있다. 검증 결과와 이력은 자동 생성된다. 별도의 저장소에 백업 파일도 보관된다.

게이트엑스캐너는 국가보안기술연구소가 개발한 ‘구름’이라는 보안운영체제를 탑재해 신뢰체인 기반의 강력한 보안성을 제공하고 있으며, 행정안전부의 주요 정보통신 기반시설보호지침 등과 같은 제어망 보안규정을 준수하는 유일한 보안 키오스크입니다.

국내외 다양한 백신으로 악성코드를 검사하기 때문에 높은 탐지율과 신뢰성을 제공합니다. 또 백신이 탐지하지 못하는 APT 공격에 대한 대응으로 악성코드 무해화 기술, 즉 CDR 기술을 탑재했습니다.

문서파일에 담간 의심스러운 악성요소를 사전에 제거해 문서파일같은 일반 파일에 담긴 의심스러운 악성요소를 사전에 제거해 안전성이 확보된 파일만 내부로 반입될 수 있기 때문에 공급망 공격뿐 아니라 다양한 공격으로부터 주요 정보 자산과 시설을 보호할 수 있습니다. – 백종덕 소프트캠프 게이트엑스캐너 개발 총괄 이사

진화하는 해커들의 공격을 보안 기술 하나로 막을 수는 없습니다. 다양한 보안 기술과 사람, 프로세스가 적절히 어우러져야 합니다. 그래도 현재 시점에서 보안 키오스크는 시설 출입 단계에서 악성코드 유입을 원천 봉쇄할 수 있는 방법이 될 것입니다.

영상 기획, 글. 이유지 기자 <yjlee@byline.network>
영상 촬영, 제작. 박리세윤 PD <dissbug@byline.network>

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다