엔키화이트햇 “통제 항목 매핑만으론 한계, 계속 점검해야”
[기획/N²SF 전환⑧] N²SF 실증 3개 과제서 ‘공격자 관점’ 침투테스트로 보안성 점검
<목차>
① 공공 보안 패러다임 대전환, N²SF
② N²SF, 제로트러스트 아키텍처 품었다
③ N²SF 가이드라인 주 집필인이 본 공공 보안의 숙제 – 이철호 엔플러스랩 대표 인터뷰
④ N²SF 실증사례 : SGA솔루션즈 “뼈대인 컨설팅 단계가 핵심”
⑤ N²SF 실증사례 : 지니언스 “단말 검증에서 시작되는 N²SF”
⑥ N²SF 실증사례 : 모니터랩 “생성형 AI 쓰는 순간, 데이터는 통제 대상”
⑦ N²SF 실증사례 : 프라이빗테크놀로지 “현실에 맞는 단계적 적용 필요”
⑧ N²SF 실증사례 : 엔키화이트햇 “통제 항목 매핑만으론 한계, 계속 점검해야” (이번호)
⑨ N²SF가 나아갈 길 : 향후 과제
엔키화이트햇은 지난해 진행된 국가망보안체계(N²SF) 시범 실증 3개 과제에 모두 참여해, 컨설팅·구축 결과물이 실제 공격 상황에서도 보안 통제를 유지하는지 ‘침투테스트(모의해킹)’로 검증하는 역할을 맡았다. 엔키화이트햇이 참여한 과제는 ▲범정부 초거대 인공지능(AI) 공통기반 실증 ▲디지털플랫폼정부(DPG) 통합플랫폼 실증 ▲공공기관 대상 실증이다.
엔키화이트햇은 이번 N²SF 실증을 “기능 동작 확인”이나 “취약점 나열”로 보지 않았다고 설명했다. 공격자 관점에서 고등급(C·S) 데이터가 실제로 탈취될 수 있는지, 새로 도입된 보안 제품의 통제가 공격 과정에서도 무력화되지 않는지를 확인하는 데 초점을 뒀다. 다만 기관별 진단 기간이 2일에서 1주일 안팎으로 제한돼, 체계 전체를 관통하는 시나리오를 폭넓게 검증하기보다는 ‘실증 대상에 신규 도입된 주요 솔루션이 공격 상황에서 통제를 유지하는지’를 중심으로 점검했다.
엔키화이트햇은 N²SF 실증 현장에 투입돼 구축팀이 놓치기 쉬운 설정 오류나 우회 가능성을 찾는 역할을 수행했다고 설명했다. 예를 들어 초기 설정 미흡으로 관리자 페이지가 노출되거나, 사용자 단말의 보안 패치가 적용되지 않은 취약점이 남아 있는 경우를 확인한 후, 이를 국정원과 해당 기관에 보고해 보완이 이뤄지도록 했다.
엔키화이트햇 관계자는 “설계·정책 적합성 점검은 기본이지만, 통합·연계 과정에서 생기는 결함이나 구현체 자체 취약점은 그 방식만으로 충분히 검증하기 어려운 면이 있었다”고 말했다.
3개 과제에서 무엇을 점검했나
엔키화이트햇이 밝힌 점검 범위는 각 과제별로 달랐다. 범정부 초거대 AI 공통기반 과제에서는 프롬프트·검색증강생성(RAG)·기밀(C)·민감(S)·공개(O) 등급별 데이터 흐름을 놓고 공격 가능성을 점검했다. 구체적으로 프롬프트 인젝션(지시문을 주입해 모델을 속이는 공격)으로 시스템 프롬프트 탈취를 시도하거나, 탈옥(Jailbreak) 같은 우회 기법을 시험했다. 권한 없이 채팅 기록을 확인할 수 있는 지 등 웹 기반 취약점도 함께 점검했다고 밝혔다.
DPG 통합플랫폼 과제에서는 C·S 등급 업무·데이터를 다루는 구간에서 제로트러스트 기반 가상사설망(VPN) 클라이언트의 우회 가능성과 취약점을 점검했다. 가상사설망(VPN) 클라이언트 후킹(프로그램 동작 가로채기)으로 내부 로직을 분석하고, 클립보드 잠금·워터마킹·기본 보안 점검 같은 통제를 무력화할 수 있는지 시험했다는 설명이다. 연관 망을 대상으로 보안 통제를 우회한 뒤 내부로 침투해 권한 상승을 시도하거나, 웹 메일·문서 중앙화 솔루션에서 문서 뷰어 권한 우회, 관리자 권한 탈취 가능성도 점검했다고 덧붙였다.
공공기관 대상 N²SF 적용 과제에서는 C·S 등급 업무 환경에서 원격 브라우저 격리(RBI) 솔루션이 공격 상황에서도 통제 기능을 유지하는지 점검했다고 밝혔다. 원격 브라우저 격리는 외부 웹을 볼 때 브라우저를 분리된 환경에서 실행해 웹 기반 위협 유입을 줄이는 방식인데, 엔키화이트햇은 이 솔루션이 실제 공격 시나리오에서 우회되거나 무력화될 여지가 없는지 확인하는 데 집중했다고 설명했다.
“N²SF는 운영 단계에서 완성”…점검 기간 늘려야
엔키화이트햇은 N²SF 같은 신규 보안 체계는 설계 단계에서 식별되지 않았던 위협이 구현·운영 단계에서 나타날 수 있다고 봤다. 그래서 ‘공격자 관점’의 지속 점검이 필수라고 강조했다. 엔키화이트햇은 현장 도입 단계에서 침투테스트를 최소 2주, 가능하면 1개월 안팎으로 수행할 필요가 있다는 의견도 제시했다.
엔키화이트햇이 제시한 방향은 두 가지다. 첫째, 발주기관이나 시스템 통합(SI) 사업자가 주관해 체계 전체 관점에서 시나리오 기반 침투테스트를 수행하는 방식이다. 둘째는 솔루션 벤더가 주관해 제로트러스트·AI·문서보안 등 새로 도입되는 개별 솔루션 자체의 안전성을 검증하고, 체계 내 통합·연계 과정에서 생길 수 있는 결함을 집중 점검하는 방식이다.
엔키화이트햇 관계자는 “좋은 체계를 마련하는 것만큼, 운영 단계에서 공격자 시각의 피드백으로 보완하는 과정이 필수적이라고 본다”고 강조했다.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network
