와이파이를 통해 흔적도 없이 쳐들어오는 공격 기법이 최근 새롭게 발견됐다. 공격을 허용하는 취약점 자체는 등급이 낮지만, 공격 성공 시 해커들이 얻어갈 수 있는 것이 너무나 많다. 어쩌면 프래그어택이 난무하는 시대가 올 지도 모른다.

[보안뉴스 문가용 기자] 기업들의 네트워크를 위협하는 새로운 종류의 공격 기술이 화제다. 이름은 프래그어택(FragAttacks)이라고 하는데, ‘단편화와 응집 공격(Fragmentation and Aggregation Attack)’의 준말이다. 이 공격 기법을 제일 먼저 발견한 보안 전문가 마티 반호프(Mathy Vanhoef)가 붙인 이름이다. 와이파이 네트워크를 통한 공격의 일종으로, 와이파이가 켜진 장비를 공격자들의 안테나로 활용하는 수법을 일컫는다.


설명에서 알 수 있듯, 프래그어택은 와이파이의 설계나 구축에서 나타난 오류를 익스플로잇 함으로써 구현되는 공격이다. 여기서 언급되는 오류들은 주로 패킷 응집(packet aggregation)과 프레임 단편화(frame fragmentation)와 관련이 있는 것들이다. 익스플로잇에 성공할 경우 공격자들은 암호화 된 프레임을 중간에 가로채고, 이를 악용해 데이터를 빼내거나 장비를 완전히 장악할 수 있게 된다. 프래그어택은 1997년에 등장한 최초의 버전부터 최신인 WPA3 버전까지 모든 버전에서 성립 가능한 공격이다.

프래그어택을 가능하게 해 주는 취약점 자체는 ‘중간급 위험도’를 가진 것으로 평가된다. 그러나 기업 네트워크에 아무런 흔적도 남기지 않고 침투할 수 있게 해 주는 공격 방법이기 때문에 많은 공격자들의 관심을 받고 있는 것으로 알려져 있다. 그 외에도 이 프래그어택을 주의 깊게 살펴야 하는 이유는 다음과 같다.

1) 원격 공격이 가능하다. 프래그어택이 와이파이와 관련이 있다 보니 ‘공격 표적과 공격자가 어느 정도 가까운 위치에 있어야 한다’는 착각을 유발시킨다. 하지만 이는 사실이 아니다. 수천 킬로미터 바깥에서도 프래그어택 공격은 가능하다. 와이파이가 켜진 장비들을 일종의 ‘안테나’로서 활용할 수 있기 때문이다. 즉 피해자 근처 매장에 있는 와이파이 프린터나, 아마존 알렉사나 무선 보안 카메라를 익스플로잇 한 후(이 역시 간단한 공격 도구 구매로 손쉽게 해낼 수 있다), 이를 원격 공격 도구로 삼으면 얼마든지 프래그어택이 가능하다는 뜻이다.

2) 네트워크 보안 장치들을 우회할 수 있다. 일부 프래그어택 취약점들은 방화벽을 무시한 공격자-피해자 간 통신을 가능하게 해 준다. 피해 장비가 유선 네트워크에 연결되어 있어도 마찬가지다. 예를 들어 공격자가 작은 IP 패킷을 삽입함으로써 장비의 DNS 설정을 망가트리게 된다면 이런 공격이 성립된다. 심지어 프래그어택을 실시하면 피해 기업 내 와이파이 장비와 OTA로 직접 통신하는 것도 가능하게 될 정도다. 이런 상태가 유지된다면 현존하는 그 어떤 네트워크 보안 솔루션도 이를 탐지할 수 없다.

3) 무선 기능을 가진 모든 장비들이 잠재적으로 공격 대상이 된다. 무선 기능을 가진 장비들 거의 대부분이 와이파이 기능을 기본적으로 가지고 있기 때문이다. 게다가 모든 버전의 와이파이가 프래그어택에 취약하다. 보안 연구원들이 실험실에서 연구를 진행했을 때, 그 어떤 장비들에서도 예외점을 발견할 수 없었다고 한다. 일부 제조사들에서 프래그어택과 관련된 패치를 제조하고 있긴 한데, 소프트웨어 패치만으로 해결할 수 없는 취약점이 있는 것으로도 알려져 있다.

4) 공격자의 흔적을 남기지 않는다. 네트워크 로그에도 공격자의 모습은 찾을 수 없다. 즉 탐지도 어려운데, 추적마저 안 되는 공격이라는 것이다. 어쩌면 이것이 프래그어택의 가장 무서운 점일지도 모른다. 공격자가 프래그어택에 통달한다면, 피해자는 피해 사실도 인지하지 못하고 살아갈 확률이 높다. 적어도 공격자가 네트워크에 머무르는 ‘체류 시간’을 꽤나 길게 가져갈 수 있게 된다.

혹자는 이렇게 말한다. 1997년부터 있던 취약점이 이제야 발견됐다는 건 앞으로도 익스플로잇 될 가능성이 낮다는 의미라고 말이다. 그러나 2018년 멜트다운(Meltdown)과 스펙터(Spectre)가 처음 발견됐을 때도 다들 그것이 한 번의 해프닝 정도로 끝날 것이라고 예측했었다. 그 후로 수년 동안 멜트다운과 스펙터의 각종 변종 취약점이 연구를 통해 나타날 것이라고 예상한 사람은 드물다. 프래그어택 역시 그럴 가능성이 높다. 아무도 몰랐기 때문에 수십 년 동안 묵혀 있었지만 반호프 덕에 세상에 나타났으니 이제부터 각종 연구가 시작될 수 있다.

현재 세상의 거의 모든 조직들이 프래그어택에 노출되어 있다고 해도 과언이 아니다. 공격자들은 흔적도 없이 방화벽을 넘나들 수 있는 이 공격 기법이 관심이 없을 수 없다. 더더욱 조직 내 네트워크 안의 모든 디지털 자산들을 확실히 파악하고, 모니터링 또한 지속적으로 이뤄가야 할 것이다. 또한 보안 업계도 프래그어택에 대한 방비책을 빨리 마련할 필요가 있다. 지금은 속수무책인 상황이다.

글 : 아미카이 슐만(Amichai Shulman), CTO, AirEye
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>