• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

국내 일부 NAC, 심각한 취약점으로 ‘무용지물’ 우려! 2012.01.25

수집 쉬운 IP와 MAC 위주 탐지가 문제...침입 및 마비 공격 가능


[보안뉴스 오병민] 국내에서도 주로 이용하고 있는 네트워크 접근제어(NAC) 원천기술이 사내 보안정책을 우회하거나 내부 네트워크를 공격할 수 있는 심각한 취약점을 가지고 있는 것으로 파악돼 주의가 당부되고 있다.

 

해당 취약점에 노출된 제품들의 최근 버전에서는 이 같은 문제점이 수정되기도 했지만 기술지원이 이뤄지지 않은 하위 버전의 경우에는 아직도 취약점이 해결되지 않아 위험에 노출돼 있는 것으로 확인되고 있다.


취약점이 나타난 NAC 기술은 ARP에서 IP와 MAC를 비교해 접근제어를 진행하는  방식으로 국내에서도 많은  NAC 솔루션이 이 방식을 활용해 제품화된 바 있다.  취약점을 알기 위해서는 ARP(Address Resolution Protocol)에 대한 이해가 선행되어야 한다. ARP는 네트워크 안에서 PC들이 서로 통신을 하기 위해 접근하는 주소를 결정하는 규칙이다.

 

따라서 PC는 서로의 통신을 위해 네트워크에 접속한 모든 PC의 IP와 MAC(단말기 고유번호)를 리스트(ARP 테이블)로 만들어 정리하게 된다. 결국 이 리스트를 이용해 서로를 구분하고 통신하는 것이라고 볼 수 있다.

 


ARP를 이용한 NAC 기술은 이 점을 이용한다. NAC 장비는 ARP 리스트를 통해 접속된 PC의 IP와 MAC를 확인하고, 이 정보에서 인가되지 않은 IP와 MAC이 있을 경우 다른 PC와 인터넷에 접근하지 못하도록 ARP 리스트를 변경한다.


고려대 정보보호대학원 박사과정 유영일(지도교수 이상진) 연구원은 네트워크 접근제어에 ARP를 이용할 경우 여러 가지 취약점이 있다고 밝혔다. 근본적인 문제는 IP와 MAC이 외부에서 수집하기 어렵지 않은 정보이기 때문이라고 설명한다.


그가 밝히는 취약점은 △비인가 PC 탐지기능 취약점 △고정 ARP를 통한 우회 △IP 변조 및 ARP 캐시 포이즈닝을 통한 네트워크 마비 등이다.


비인가 단말기 탐지기능 취약점

가장 기본적인 취약점은 허가되지 않은 PC도 허가된 PC의 IP와 MAC를 도용한다면 통신을 위한 접근이 허가된다는 것이다. 즉, 허가된 PC로 위장하는 것이라고 볼 수 있다. 허가된 장비의 IP와 MAC 정보을 알아내는 것은 인터넷에 돌고 있는 스위치 패킷 정보 스니핑 도구를 이용하면 되기 때문에 도용 역시 어렵지 않다.

 


고정 ARP를 통한 우회

ARP는 동적(Dynamic) 방식과 고정(Static) 방식으로 작동하는데 허가받지 않은 PC의 IP와 MAC를 인터넷 통신을 위한 게이트웨이의 IP와 MAC로 고정했을 경우 차단을 우회할 수 있다. 게이트웨이 IP와 MAC를 고정방식으로 적용하면 NAC 장비가 ARP 리스트를 수정하려고 해도 수정이 되지 않기 때문이다.


IP 변조 및 ARP 캐시 포이즈닝을 통한 네트워크 마비

ARP를 이용한 방식은 IP와 MAC 도용을 통해 내부 네트워크 침입을 허용할 뿐 아니라 반대로 다른 PC들이 네트워크에 연결되지 않도록 할 수도 있다. 즉 의도적으로 내부 네트워크를 마비시키는 공격도 가능한 것.


NAC는 IP와 MAC 주소가 모두 허용돼 있어야 네트워크 접속을 허용한다. 둘중 하나의 정보가 다르더라도 정상적인 접속이 아닐 수 있기 때문이다. 네트워크 마비 공격은 NAC가 IP와 MAC 주소의 매칭이 틀린 경우 해당 IP를 차단한다는 점을 악용한 공격이다.


즉, 공격자의 PC가 허용된 PC의 IP만 같고 MAC이 다른 상태에서 네트워크에 접속을 시도하면 NAC는 해당 IP에 네트워크에 접속되지 않는 ARP 리스트를 보낸다. 이렇게 순차적으로 내부 PC의 IP를 차례대로 바꿔 접속을 시도하면 동일한 IP PC도 네트워크 접속이 끊어지게 돼 결국 네트워크 마비를 일으킬 수 있는 것.


또한, 공격자가 NAC 장비의 ARP 리스트를 바꾸는 ARP 캐시 포이즈닝(ARP Cache Poisoning) 공격을 통해 일괄적으로 모든 IP를 비인가 장비로 바꾸는 방식으로도 네트워크 마비가 가능하다.

 

아직도 취약점에 노출된 제품 적지 않아

이 같은 취약점은 이미 오래전부터 알려져 있어 취약점을 해결한 제품도 있지만 아직도 취약점에 노출돼 있는 제품이 적지 않은 것으로 확인되고 있다.


NAC 솔루션 업계의 한 관계자는 “자사의 제품 중 최신 제품들은 문제점이 패치된 상태이지만 기술지원이 끝난 일부 구버전 제품에서는 문제점이 있을 수 있다”고 밝혔다.


NAC 취약점을 연구 중인 유영일 연구원은 “테스트를 통해 확인해본 결과 아직도 많은 제품들이 단순히 IP와 MAC를 변조해도 NAC을 우회하는 것으로 파악됐다”면서 “NAC을 도입 운용 중인 회사 및 기관들은 이용중인 NAC 솔루션이 이런 취약점이 이미 보완된 상태인지 확인이 시급하며, 만일 취약점이 존재한다면 관련 업체를 통하여 신속하게 보완해야 한다”고 조언했다.

 

이러한 취약점이 성숙기를 맞고 있는 NAC 시장 성장에 걸림돌이 되지 않도록 관련 업체에서는 신속하고 철저한 대응이 필요하다는 지적이 나오고 있다.

[오병민 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>