금융보안원 RED IRIS 팀에서 발간한 공격자 관점의 망분리 우회 취약점 리포트를 알아봅시다.
공격자 관점의 망분리 우회 취약점 리포트
금융보안원의 Red IRIS 팀에서 주기적으로 공격자 관점의 취약점 리포트를 발행하고 있습니다.
이번에도 좋은 리포트가 나와서 해당 내용을 공유 하고자 합니다.
망분리란?
금융권에서는 타 산업군보다 엄격한 관리하에 정보보호 수준을 요구하고 있습니다.
특히 망분리 규제가 있으며, 요즘은 Cloud, AI등의 사용으로 인해 점진적으로 완화 되고 있는 추세이지만..
망분리 규제는 제가 생각하기에 보안적으로 정말 안전한 체계인지는 잘 모르겠습니다.
망분리에는 방식에 따라 크게 물리적 망분리, 논리적 망분리로 나누어 집니다.
물리적 망분리
물리적 망분리는 물리적으로 완전히 분리된 네트워크 인프라로 구축하여, 네트워크 상의 접근 경로를 원천적으로 차단하는 보안 아키텍처 입니다.
하드웨어 기반의 격리를 통해 외부의 침해 가능성을 구조적으로 제거하는데 목적을 두고 있습니다.
| 원칙 | 내용 | |
|---|---|---|
| 경로 단절 | 라우팅 경로(IP Routing), 물리적 연결(LAN 케이블), 네트워크 장비(NIC, Switch) 등을 각각의 망 별로 독립적으로 구성 단말기는 하나의 네트워크에만 연결되고 공유되지 않음 | |
| 입출력 통제 | 두 망 간 정보 이동이 필요한 경우, 망연계 시스템, 데이터 유출 방지 시스템, 단방향 전송 장치 등을 별도로 설치하여 운영 | |
| 단말기 이중화 | 사용자에게 전용 단말기와 업무망 전용 단말기를 분리 제공하며, 외부망 접속 및 연결을 통제 | |
| 접속/연결 통제 | 업무망 단말은 외부 인터넷 연결 기능 자체를 제한하며, 물리적으로 외부 라우터 및 DNS에 도달할 수 없음 |
| 구분 | 내용 |
|---|---|
| 장점 | 인터넷망과 업무망 간 물리적 단절로 인해 외부 공격의 내부 전이 가능성이 현저히 낮음 |
| 장점 | 관리·감독 체계가 명확하며 규정 준수 여부 파악이 용이함 |
| 단점 | 2대의 PC를 운영하거나 장비를 이중화해야 하므로 초기 비용 및 유지보수 부담이 큼 |
| 단점 | 사용자의 업무 효율성 저하 및 불편함 유발 가능 |
| 단점 | 물리적 환경 변화(이동, 확장 등)에 유연하게 대응하기 어려움 |
논리적 망분리
논리적 망분리는 물리적으로 단일 단말기 또는 네트워크 인프라를 유지하되, 논리적 기술이나, 보안통제 수단을 활용하여 업무망과 인터넷망을 분리하는 방식입니다.
가상화, 터미널 접속, 네트워크 서브넷 활용등 서로 다른 보안영역을 구성하고, 접근 경로 및 데이터 흐름을 정책적으로 통제함으로써 물리적 망분리와 유사한 보안 수준을 향상 하는데 목적이 있습니다.
업무상 물리적 망분리 구현이 불가능하거나, 비효율적인 환경에 한해, 특정 조건 하에서 망분리 허용을 인정하고 있습니다.
| 구현 방식 | 특징 |
|---|---|
| 가상화 서버 기반 인터넷/업무망 분리 | - 외부망은 로컬 PC, 내부망은 VDI를 통해 접근 - 내부 업무 환경은 서버 측에 존재 - 업무 데이터를 단말기에 저장 및 복사 불가능 |
| VLAN 및 논리적 네트워크 분리 | - 네트워크 스위치에서 VLAN을 구성해 대역 분리 - 내/외부망을 분리된 트래픽 정책으로 관리 - 보안장비로 통제 |
| 하이퍼바이저 기반 이중 OS 구성 | - 하나의 물리 PC에 두 개 이상의 OS를 동시 구동 - 내/외부 OS 독립 구성 후, 네트워크 인터페이스 분리 - Hyper-V 등으로 구현 가능 |
| 구분 | 내용 |
|---|---|
| 장점 | 단일 장비로 인터넷/업무망 동시 사용이 가능하여 업무 편의성과 유연성이 우수 |
| 장점 | 물리적 인프라 추가 없이 비교적 저비용으로 망분리 구현 가능 |
| 장점 | 원격근무, 클라우드 환경 등 신기술과의 호환성이 우수 |
| 단점 | 물리적 망분리 대비 보안성이 낮으며, 구성 오류 및 정책 미비 시 침해사고 위험 존재 |
| 단점 | 보안 통제 및 탐지 체계를 철저히 갖추지 않을 경우 측면이동, C2 통신 등으로 이어질 수 있음 |
| 단점 | 망 간 연계점이 존재하기 때문에 정교한 탐지 및 대응 체계 필요 |
망분리 완화
물리적 망분리와 논리적 망분리는 각각 장단점이 존재하고, 업무 환경과 인프라에 따라 두 방식을 혼합해서 사용하고 있습니다. 특히 최근 클라우드, 원격근무, 모바일, AI등 기술이 점차 빠르게 발전하고 있는 속도에 비해 망분리 모델은 업무의 생산성이 저하됩니다.
이에 금융당국은 위험 기반 접근 방식을 바탕으로 망분리 규제 완화 정책을 점진적으로 추진하고 있습니다.
망분리 적용된 금융권의 주요 취약점
미흡한 비밀번호 관리
- 명령어 히스토리 파일 내 패스워드 확인
- 동일한 계정의 같은 비밀번호 사용
- 초기 설치 상태의 계정 정보 사용등
미흡한 네트워크 접근 제어
- 보안 솔루션의 사용하는 포트에 대한 ALL 허용 상태
- 외부로 노출되어 있는 접근제어 없는 서비스
알려진 취약점(1-day) 패치 미적용
- 솔루션 패치 미흡 상태로 방치
- 일부는 2021~2022년에 CVE가 공개된 LPE 취약점이 그대로 방치 -> Polkit, Pwnkit 취약점으로 추정해봅니다.
이건 할말이 많다… 아래에서 제 생각을 말해보겠습니다.
업무망/비업무망 간 접근
- 이메일, 메신저, SaaS등 접점 통제 미흡
파일 업로드
- 확장자, MIME 타입 검증, 경로 조작 필터링 미흡
해당 취약점은 이제는 서비스에서 나오면 안되는 취약점이라고 개인적으로 생각합니다.
취약점 발생 근본 원인
망분리 환경에서 발생하는 우회 포인트는 단순히 기술적 취약점 뿐만아니라 관리 부실, 정책 미비, 솔루션 운용의 불완전성등 복합적인 요인에 의해서 발생합니다.
특히 논리적 망분리 환경에서는 업무 효율성과 연결성 확보를 이유로 일부 접점이 허용되기에 그 지점을 통한 우회 가능성이 내재되어 있는 경우가 많습니다.
- 솔루션/비밀번호 등 관리미흡
- 솔루션 최신 버전 패치 미흡
Conclusion
내용이 길어서 망분리 침투 방법은 2편에서 작성하겠습니다.
취약한 원인이 발생하는 근본적인 이유에 대한 제 생각을 말해보겠습니다.
관리/최신 버전 패치 미흡은 모든 사람들이 알고 있는 문제이며, 취약한 상태로 남아있기를 원하는 사람은 없을꺼라 생각합니다.
그럼에도 불구하고, 개선이 어려울까를 생각해보면 여러가지가 있지만 대표적으로 4가지의 이유를 말할 수 있을꺼 같습니다.
첫번째는 자산에 대한 관리 부실 입니다.
자산 관리의 부실이 24년 해킹 사고( 통신사 해킹, 카드사 해킹등 )로 이루어 지는 것을 보았습니다.
회사에 들어오는 모든 시스템, 인프라등에 대해서 100% 관리가 이루어져야 하지만, 매일 새로운게 생기고 없어지는 상황 속에서 모든 조직간 협조가 없으면, 식별하기 어려운 Gray 영역이 생길 수 밖에 없습니다.
두번째는 패치에 대한 복합적인 이유라고 생각합니다.
A서비스에서 취약점을 패치하기 위해선 A서비스 담당 / A서비스 개발 담당 / A서버에 대한 인프라 담당 / A서버 내 솔루션 담당등 1개의 서비스만 하더라도 많은 인원들의 업무가 분리되어 있습니다.
패치는 가용성과 밀접한 연관이 있기 때문에 영향도 파악을 해야되고, 패치는 한번하고 끝이아니라 취약점은 계속해서 발견됩니다.
담당자는 패치가 주 업무가 아니면서 피로도가 상당한 작업을 반복해야합니다. 특히 패치해서 가용성 이슈가 생겼다면, 책임은 패치 담당자가 져야하지만, 패치를 안할 경우 해킹 공격이 없더라면 패치 담당자로서는 별일 없이 지나갈 수 있기 때문에 담당자 입장에서는 해킹보다 당장의 가용성이 더 걱정되는 상황에 놓입니다.
세번째는 솔루션 벤더사의 미온적인 협조 입니다.
벤더사에서 기밀의 이유로 제공받지 못하는 부분도 많고, 문제를 알더라도 내부에선 해결하지 못하고, 솔루션에서 해결해야하는 상황이 대부분입니다.
대부분의 벤더사는 도입전까지는 적극적이지만, 도입 이후로는 신경을 덜 쓰는 경향이 있습니다.
( 벤더사의 인증서가 털렸는데, 벤더사의 공문보다 보안뉴스를 통해 알게된 케이스라던지 )
마지막은 비용이라고 생각하는 인식 이라고 생각합니다.
대부분의 금융권은 IT 기반으로 세워진 회사가 아니기 때문에 내재화된 개발이 아닌 외부 솔루션에 대한 의존성이 매우 높습니다.
솔루션을 도입 하고 유지 보수하면서 지속적인 관리가 이루어 지지 않는다면 취약한 구조에 놓일 수 밖에 없습니다.
이는 회사에서 적극적으로 관리 부분에 대한 비용을 반영해야 하지만, 비용을 줄이는 목적이 있다면 해당 비용을 우선적으로 줄이는 경향이 있는 것 같습니다. ( 사고가 나지 않는 이상 불필요한 비용으로 보이기 떄문이라고 생각… )