금보원, 망분리 환경 취약점 악용 우회 보안 위협 경고

3가지 침투 시나리오 제시...실전형 모의해킹 통한 잠재적 위협 식별 및 제거 권고

(지디넷코리아=방은주 기자) 금융보안원(원장 박상원)이 금융권 망분리 환경의 취약점을 공격자 관점에서 심층 분석, 이에 대한 전략적 대응 방안을 담은 '레드아이리스 인사이트 리포트:Campaign Eclipse'를 발간했다. 

리포트 요약본은 금융보안원 홈페이지(자료마당>RED IRIS 리포트)에서 열람이 가능하다. 세부 내용은 오는 20일 금융회사 대상 '취약점 분석·평가 정보공유 세미나'에서 발표한다.

4일 금보원에 따르면, 보고서 제목은 망분리 환경에서 내·외부망 취약점이 연결되는 순간 일식(Eclipse)이 빛을 가리듯 망분리 방어 체계의 사각지대가 드러나는 것을 빗대 지었다.

정예 화이트해커로 구성한 금융보안원 RED IRIS실은 망분리 환경 내외부의 취약점이 맞물려 방어 체계가 무력화되는 상황을 ▲내부 데이터 유출 ▲업무망 침투 ▲클라우드를 통한 유출 3가지 침투 시나리오(Operation)로 재구성했다.

▲내부 데이터 유출(Operation Egress Chain): 공격자 또는 내부자가 접근제어 솔루션 서버의 관리상의 취약점을 악용해 서버를 장악하고 이를 거점으로 비업무망을 거쳐 외부로 데이터를 유출하는 것이다.

-1단계(침투): 업무망의 임직원 PC 또는 보안이 취약한 서버를 해킹해 업무망 공격 거점 확보

- 2단계(장악): 다수의 서버를 관리하는 솔루션 취약점을 악용해 시스템 다수를 제어할 수 있는 관리자 권한 탈취

- 3단계(유출): 확보한 권한을 바탕으로 외부 연결이 허용된 서버(메일 서버 등)를 비밀 경로로 삼아 내부 데이터를 외부로 유출

▲업무망 침투(Operation Ingress Chain): 공격자가 외부에서 접속 가능한 시스템 및 연계 서버의 취약점을 악용해 망분리를 우회하고 업무망에 위치한 주요 서버의 제어권을 확보

- 1단계(침투): 공개된 홈페이지나 시스템의 취약점을 악용하여 장악

- 2단계(거점 확보): 장악한 서버와 연결된 서버를 통해 외부와 차단된 업무망 서버로 연결 통로(터널링)를 구축

- 3단계(망분리 무력화): 업무망에 진입한 이후 주요 관리 시스템의 권한을 확보하여, 업무망 다수의 서버에 대한 제어 권한 확보

▲클라우드를 통한 유출(Operation Pivot Net): 공격자 또는 내부자가 업무망을 경유하여 클라우드 인프라까지 공격 범위를 확대하여 정보 유출

- 1단계(거점 확보): 클라우드 관리 권한을 가진 직원의 업무망 PC를 해킹하여 원격 제어 권한 탈취

- 2단계(인증정보 확보): 탈취한 PC에서 클라우드 접속에 사용되는 자격증명 정보(인증 토큰 등) 확보

- 3단계(클라우드 인프라 장악): 확보한 인증 정보를 이용해 클라우드 서버 등을 장악하고, 업무망에서 클라우드를 경유하여 내부 정보 유출

보고서는 "최근 망분리 완화 및 개선 논의가 지속되고 있으며, 내부자에 의한 정보 유출 사고가 빈번해짐에 따라 망분리 맹신에서 벗어나 정보보호 역량 강화가 필요하다"고 짚었다.

이에, 첫째, 기존 망분리 환경에 대한 기술적 및 관리적 대응 체계를 강화하고 둘째, 보안 솔루션을 도입한 이후에도 주기적 점검 등을 통해 솔루션 관리를 강화할 필요가 있으며 셋째, 클라우드 인증 정보가 공격자나 내부자에 의해 오남용될 경우 대규모 데이터 유출로 직결될 수 있어 인증 정보에 대한 철저한 관리가 필요하고 넷째, 실전형 모의해킹을 통해 잠재적인 보안상의 취약점을 사전에 식별하고 제거하는 공격자 관점의 선제적 방어 전략 수립이 필요하다고 제안했다.

금융보안원 박상원 원장은 “앞으로도 레드팀(RED IRIS)의 모의해킹을 통해 금융 서비스에 잠재된 보안 위협을 사전에 식별 및 대응할 수 있도록 적극적인 역할을 수행하겠다”고 밝혔다.

리포트 요약본은 금융보안원 홈페이지(자료마당>RED IRIS 리포트)에서 열람이 가능하고, 세부 내용은 오는 20일 금융회사 대상 '취약점 분석•평가 정보공유 세미나'에서 발표될 예정이다.

방은주 기자(ejbang@zdnet.co.kr)