일정수준의 보안성이 만족된 기업의 내부망 보안 구성도를 살펴보면, 인터넷 구간에서 전송되는 트래픽은 IDS, IPS 와 같은 침입차단 장비에 의해 필터링 되며 외부에 노출되는 DMZ 구간은 별도의 탐지 정책을 통해 모니터링을 수행하게 된다. 내부에서는 신뢰 구간의 주요 서버에 대한 별도의 모니터링 정책과 사내망 PC의 보안정책, 연동기관의 ACL, VPN 정책 등을 통해 외부망에서의 불필요한 접근을 차단하고 내부망의 트래픽을 통제하게 된다.

기본 수준 이상의 보안 구성이 완료된 환경이지만 위에서 언급한 것처럼 잠재적인 보안 위협이 존재할 수 있으며, 일반적으로 존재할 수 있는 내부망 침해 위협 요소는 외부에서 직접 내부망 공격시도가 이루어지는 위협요소들과 내부망 안에서 공격시도가 이루어질 수 있는 위협요소들로 구분을 할 수 있다.

외부에서 직접 내부망 공격시도가 이루어지는 위협요소들은 크게 4가지로 구분할 수 있다.

1. Internet 과 연결된 사내 PC를 통한 악성코드 감염

2. 사내 무선랜을 통한 내부망 접근 시도

3. 외부에 노출된 Application 서비스의 취약점

4. 내부망 관리 부주의로 인한 주요정보 노출

1. Internet과 연결된 사내 PC를 통한 악성코드 감염

업무특성상 사내 PC의 Internet 사용은 불가피한 경우가 많기 때문에 Internet과 연결된 사내 PC에는 기본적으로 안티바이러스 솔루션에 의해 악성코드 감염을 예방하고 있는 경우가 대부분이다.

그러나 대부분의 안티바이러스 솔루션은 패턴 매칭 기반으로 악성코드 진단에 한계점이 존재하며 새롭게 개발되거나 변종되는 악성코드들은 해당 탐지 패턴을 우회하는 작업을 지속적으로 수행하기 때문에 솔루션의 종류에 따라 탐지여부가 달라지거나 다른 탐지 결과를 제공하기도 한다. 때문에 사내망에 위치하는 PC라도 Internet 구간과 통신이 이루어지는 동안은 악성코드 감염 위협에 노출될 수밖에 없으며, 악성코드 감염으로 인해 주요 정보 유출, 백도어를 통한 외부 접근경로 생성 등 다양한 유형의 피해를 받을 수 있게 된다.

사내 PC에서 Internet에 의해 악성코드가 감염될 수 있는 경로는 웹 브라우저의 확장 모듈과 이메일, 메신저나 P2P 등의 파일 공유 등을 들 수 있다.

① 웹 브라우저 확장 모듈

웹 브라우저 확장 모듈은 인터넷을 사용하기 위한 Internet Explorer와 같은 웹 브라우저에서 사용되는 ActiveX 모듈을 말한다. ActiveX의 자체 취약점을 이용하거나 악의적인 목적의 ActiveX를 정상 ActiveX로 가장하여 악성코드 유포가 발생될 수 있으며 ActiveX의 자체 취약점을 이용할 경우 사용자의 실행을 유도하여 악성코드가 감염되는 것이 아닌 본인도 모르게 감염이 진행될 수 있는 위험성이 존재한다. ActiveX 자체 취약점을 설명하자면, ActiveX 기술은 윈도우를 구성하는 COM이라는 개념과 동일한 공통 객체 모델을 의미하며 웹 브라우저(Internet Explorer)에서 ClassID를 이용하여 호출이 가능하기 때문에 범용적으로 사용되는 윈도우의 ActiveX 관련 취약점들을 웹 브라우저를 통해 호출하여 악용할 수 있는 것을 의미한다. 이런 ActiveX 자체의 취약점이 위험할 수 있는 것은 취약점 패치가 이루어지지 않은 윈도우의 0-day 상태의 ActiveX 취약점은 웹 브라우저를 통해 대규모 악성코드 유포에 이용될 위험성이 존재하기 때문이다. 얼마 전 발생한 7.7 DDoS 대란이 일어나기 전 윈도우의 ActiveX 관련 0-day 취약점 2개가 존재했던 것으로도 해당 취약점을 이용하여 DDoS 공격을 일으키는 악성코드를 대량으로 유포시킬 수 있지 않았는지 유추해볼 수 있다.

정상 ActiveX를 가장한 악성코드 유포는 동영상에 필요한 코덱이나 BHO형식의 툴바, 백신 프로그램 등을 가장하여 사용자의 설치를 유도하는 악성코드들로 대부분 인증기관의 코드 사이닝을 받아서 배포가 이루어지기 때문에 보안 의식이 부족한 사용자들은 정상적인 ActiveX와 악성 ActiveX 모듈의 분별이 어려워 웹 브라우저에서 설치문구가 뜨면 무의식적으로 실행할 위험성이 존재하게 된다.

② E-mail

E-mail을 수신하는 사내 메일 서버의 보안 설정이 미흡할 경우 외부에서 사내 직원을 가장하거나 사용자의 실행을 유도하는 문구를 이용하여 악성코드가 포함된 URL 삽입이나 악성코드 파일 첨부를 통해 사내망 PC에 악성코드를 감염시킬 위험성이 존재하게 된다. 최근에는 E-mail을 이용한 사내 업무처리가 이루어지는 경우가 많으므로 E-mail을 통한 악성코드 유포는 사내망 PC 공격을 위한 가장 좋은 접근경로가 될 수 있다.

③ 메신저, P2P 파일 공유

기업 사내망에서 범용적으로 사용되는 메신저, P2P의 사용 통제가 미흡할 경우 해당 메신저의 파일 전송 기능을 이용하여 사내망 PC에 악성코드가 감염될 위험성이 존재한다. 주로 악성코드에 의해 해킹당한 메신저 계정을 통해 등록된 사용자들에게 악성코드를 유포하거나 악성코드가 포함된 URL로 사용자를 유도하는 형식의 공격이 이뤄지게 된다. 최근에는 메신저 자체적으로 링크된 URL과 첨부파일의 안전여부를 검증하는 프로세스가 추가되고 있기 때문에 피해가 많이 감소되고 있지만 여전히 외부와의 연결 통로가 될 수 있다는 점에서 주의해야 한다.

④ 대응 방안

이렇듯 인터넷과 연결된 사내 PC들은 외부에서 내부망에 접근 가능한 연결통로가 될 수 있으며, 해당 위협 요소를 사전 대응하기 위해서는 먼저 자사에 적용된 안티 바이러스나 스팸 차단 솔루션에 패턴이 등록되지 않은 신규 악성코드에 대한 분석/대응 체계가 필요하며, 내부망 사내 PC와 서버들의 OS 보안 취약점 업데이트를 정기적으로 수행하여 0-day 피해를 최소화해야 한다. 또한 사내 PC의 인터넷 사용을 통제하여 업무와 무관하고 악성코드에 노출되기 쉬운 사이트 접근을 L7 단에서의 모니터링 솔루션이나 DNS 서버 필터링을 이용하여 사전 차단하고, 사내 PC 구간과 주요 서버 구간을 분리하여 사내 PC가 악성코드에 감염되더라도 바로 내부망의 주요 서버로 접근하지 못하도록 접근제어 정책을 수립하는 작업이 필요하다.

2. 사내 무선랜을 통한 내부망 접근 시도

무선랜에 관한 보안 이슈는 이미 널리 알려진 사실이며 최근에는 방송통신위원회에서 무선랜 보안 대책의 일환으로 무선접속장치(AP)에 암호와 패스워드를 의무화하는 법안을 검토 중에 있다. 기업에서는 사내 무선랜을 통해 다음과 같은 내부망 접근 시도가 발생될 수 있다.

① Rogue AP / Ad-hoc을 통한 내부망 접근 시도

Rogue AP는 사내 내부망에서 관리되지 않는 비인가 AP를 의미하며 사내직원들이 편의상 무선 공유기를 사용하여 발생되는 확률이 높다. 무선 공유기를 사내망 네트워크에 연결해 사용하게 되면 연결된 네트워크를 통해 접근 경로설정이 되어 있는 내부망 구간에 무선 네트워크를 이용한 접근가능성이 발생하기 때문에 외부 비인가자에 의해 백도어로 악용될 가능성이 존재하게 된다.

Ad-hoc은 별도 AP 없이 무선 클라이언트간의 Peer-to-Peer 연결을 의미하며 Windows OS 계열에서는 기본적인 사용이 가능하다. Ad-Hoc 모드를 설정하여 외부인에게 해당 자료를 공유하게 되면 Viral-SSID(바이러스와 같이 무선랜 사용자가 무의식적으로 해당 SSID에 접속하게 되어 본인도 모르게 불법 Ad-hoc에 연결되어 동일한 SSID에 접속한 모든 ad-hoc Network 사용자들에게 자동적으로 파일을 공유하게 되는 공격)와 같은 공격을 통해 공유해놓은 폴더에 접근하거나 악성코드를 유포할 위험성이 발생하게 된다.

② 사내망 PC에 저장된 SSID값을 이용한 Fake AP 접속유도

Windows기반 OS는 무선랜 디바이스가 활성화됨과 동시에 기존에 자신이 접속했던 무선 네트워크(AP)의 존재 여부를 확인하게 되는데 이때, 자신에게 저장된 PNL(Preferred

Network List)의 SSID들을 실제 AP의 존재 여부와 상관없이 하나씩 브로드캐스팅 하게 된다. 이 과정에서 SSID 브로드캐스팅 신호를 탐지하여 해당 SSID를 자신의 AP로 속여 응답하여 공격자의 AP로 사용자 클라이언트가 접속하도록 유도하는 것을 Fake AP 접속유도 공격이라고 하며, 공격자의 AP에 자동 접속된 사용자가 사내망 PC일 경우 자신과 연결된 내부망에 접근 가능한 Gateway 역할을 하게 되어 외부에서 비인가자의 내부망 접근을 위한 백도어로 악용될 수 있다.

③ Sniffing / WEP key Crack

무선랜 통신에 암호화가 적용되어 있지 않을 경우 기본적인 무선랜 디바이스와 전용 툴을 이용하여 쉽게 스니핑 공격이 가능하다. 기업의 외부 Guest용 AP나 접견실, 회의실의 무선랜 사용을 용이하게 하기 위하여 Open된 AP가 존재할 수 있으며, 이를 통해 해당 AP와 통신하는 사내 이용자의 주요 정보를 유출하여 내부망에 접근 가능한 위험성이 존재한다.

암호화가 적용되더라도 Wep Key를 이용한 암호화 통신이 이루어질 경우 지속적인 Ivs 패킷 수집을 통하여 암호화 통신에 이용되는 Key값을 획득할 수 있다. 해당 공격 역시 기본적인 무선랜 디바이스와 전용 툴을 이용해 공격이 가능하다.

④ Wibro, HSDPA 이동통신망을 통한 내부 인터넷 정책 우회 

Wibro와 같은 이동통신망 기반의 무선랜 서비스를 사내망 PC에서 이용할 경우 이동통신사에서 할당받은 IP를 통해 해당 PC와 연결된 내부망과 통신할 수 있는 접근 경로가 발생하여 외부 비인가자에게 접근 가능한 백도어를 열어주는 것과 같은 역할을 수행하게 된다. 또한 Wibro 통신을 통하여 인터넷에 접속하는 것은 기업의 보안정책들을 우회하기 때문에 내부 보안 관리상 문제가 될 수 있다.

⑤ 대응방안 

무선랜에 대한 보안 위협은 예전부터 지속적으로 논의되어 왔으며 2008년도에는 행정안전부에서 상세한 무선랜 정보보호 가이드를 발간하였다. 기업에서는 우선적으로 전문 무선랜 보안 솔루션을 도입하여 내·외부의 불법적인 접근을 제한해야 하며 WPA2 이상의 암호화 수준을 적용하여 공격자의 암호화 키 획득 시도를 차단하여야 한다. 또한 정책적으로 사내 PC의 Ad-hoc 비활성화를 권고하거나 사내에서의 Wibro 사용을 금지하여 인터넷 정책 우회 시도를 차단하고, 무선랜 디바이스의 고유 MAC이나 SSID를 관리하여 인가받지 않은 값에 대한 접속을 금지하는 정책을 도입하는 것도 좋을 것이다.

<글 : 지 선 호 | 엔씨소프트 정보보안실 해외운영보안팀(kissmefox@gmail.com)>

[월간 시큐리티월드 통권 제153호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>