금융보안원, 망분리 환경 ‘우회 침투’ 3가지 시나리오 공개

금융보안원은 금융권 망분리 환경의 취약점을 공격자 관점에서 분석해 ‘레드아이리스 인사이트 리포트: 캠페인 이클립스(Campaign Eclipse)’를 4일 발간했다고 밝혔다.

금융보안원은 망분리 환경에서 내·외부망 취약점이 맞물릴 때 방어 체계가 무력화될 수 있는 상황을 3가지 침투 시나리오로 재구성했다고 설명했다.

리포트는 첫째 ‘내부 데이터 유출(오퍼레이션 이그레스 체인)’을 제시했다. 공격자 또는 내부자가 접근제어 솔루션 서버의 관리 취약점을 악용해 서버를 장악한 뒤, 비업무망을 거쳐 외부로 데이터를 빼내는 흐름이다. 단계는 ‘업무망 PC·취약 서버 해킹→관리자 권한 탈취→외부 연결이 허용된 서버(메일 서버 등)를 경로로 유출’로 구성됐다.

둘째는 ‘업무망 침투’이다. 외부에서 접속 가능한 시스템, 연계 서버의 취약점을 악용해 망분리를 우회한 뒤 업무망 주요 서버의 제어권을 확보하는 시나리오다. ‘외부 공개 시스템 장악→연결 통로(터널링) 구축→업무망 주요 관리 시스템 권한 확보’ 순서로 설명했다. 터널링은 외부망에서 내부망으로 통신을 터널처럼 관통시키는 방식으로, 차단된 구간을 우회하는 연결 통로를 뜻한다.

셋째는 ‘클라우드를 통한 유출(오퍼레이션 피벗 넷·Operation Pivot Net)’이다. 클라우드 관리 권한을 가진 직원의 업무망 PC를 해킹해 원격 제어 권한을 탈취하고, 해당 PC에서 클라우드 접속에 쓰이는 자격증명 정보(인증 토큰 등)를 확보한 뒤 클라우드 서버를 장악해 유출로 이어지는 흐름이다. 인증 토큰은 로그인 뒤 접근을 허용받았다는 증표로, 탈취되면 공격자가 정상 사용자처럼 클라우드에 접근할 수 있다.

금융보안원은 망분리 완화·개선 논의가 이어지고, 내부자에 의한 정보 유출 사고가 빈번해지는 상황에서 망분리 자체를 보증서로 여기지 말고 기술·관리적 대응 역량을 강화해야 한다고 밝혔다. 또 보안 솔루션 도입 이후에도 주기적 점검으로 솔루션 관리를 강화하고, 클라우드 인증 정보 오남용을 막기 위한 관리가 필요하다고 했다.

금융보안원이 제시한 대응 방향은 크게 3가지다. 기술적으로는 취약점 자동화 점검, 휴리스틱(Heuristic)·행위 기반 탐지 강화, 정기 로그 모니터링을 통한 백신 탐지·우회 대응, 비밀번호 등 인증 정보·세션 관리 강화를 적었다. 휴리스틱은 축적된 데이터와 실무 경험을 바탕으로 이상 징후를 판단하는 방식을 뜻한다. 관리적으로는 기본 계정·비밀번호 사용 여부 검수, 업무상 예외적으로 허용한 네트워크 서비스(DNS, SMTP 등) 주기 점검을 권고했다. DNS는 인터넷 주소를 찾아주는 이름표 안내 시스템, SMTP는 이메일을 전송하는 통신 규약이다.

박상원 금융보안원 원장은 “레드팀의 모의해킹을 통해 금융 서비스에 잠재된 보안 위협을 사전에 식별 및 대응할 수 있도록 적극적인 역할을 수행하겠다”고 말했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network