망분리 시스템을 공격하는 USB를 이용한 악성코드

작년 여름쯤 미국에서는 대형 송유관 업체인 콜로니얼 파이프라인 업체가 랜섬웨어에 감염되는 사건이 발생했었는데요. 이 사건을 처음 접했을 때 파이프라인 인프라는 보통 망분리가 되어있을텐데, 어떻게 공격이 가능했을까라고 생각했었죠. 하지만 보안 컨설팅 일을 하면서 여러 분야의 시스템을 접하고 담당자들에게 침해사고가 발생했었을 당시의 일들을 들어보니, 아무리 망분리가 잘 되어있더라도 충분히 악성코드에 감염될 수 있구나라고 느꼈습니다. 그래서 오늘은 이와 관련해서 USB를 이용한 망분리 공격에 대해서 간단히 말씀드려보도록 하겠습니다.

​

일반적으로 수자원이나 원자력 시설 같은 국가기반시설은 중요한 시설인 만큼 악성코드 차단을 위해 반드시 망분리를 하도록 법으로 명시 되어있습니다. 망분리 개념에 대해 간단히 설명드리면, 인터넷이 연결되는 외부망(인터넷망)과 인터넷이 불가능한 내부망(업무망)으로 나눠쓰는 형태라고 생각하면 됩니다. 그런데 사실 망분리를 한다고 하더라도 시스템의 보안 업데이트와 같은 인터넷에 어쩔 수 없이 연결해야 하는 경우도 생기고, 외부망과 내부망을 이어주는 망연계 시스템을 우회해서 필요한 파일을 내부망으로 가져와 쓰기도 하죠.

​

망연계 시스템을 사용해서 외부망에서 내부망으로 들여올 파일을 CDR이나 안티 바이러스와 같은 보안 솔루션을 통해 한 번 검사를 거쳐서 안전한 파일인지 검증하는 과정이 있습니다. 그런데 금융권과 같은 망분리를 필수적으로 하는 기업에서 이야기를 들어보면, 이 과정이 상급자의 승인을 받아야 하고 시간도 오래 걸려서 암묵적으로 USB를 이용해서 파일을 옮겨서 사용한다고 합니다. 일종의 우회 방법을 사용한 것으로 보면 되는데, 여러 보안 솔루션이 설치가 되어있어도 USB 사용을 차단하지 않는다면 사실 망분리라는 개념 자체가 무의미해지죠. 이런 방식으로 USB를 통해서 충분히 악성코드에 감염될 수 있다고 보여집니다.

​

그래서 위와 같은 상황을 망분리 시스템이 적용된 국가기반시설에 적용해보면, 시설에 출입 허가를 받은 외부인이나 또는 내부 직원을 통해서도 USB만 있다면 충분히 공격이 가능하다는 이야기됩니다. 이란의 핵 시설을 망가뜨린 스턱스넷(Stuxnet)이 대표적인 예인데, 이 때도 공격자는 단순히 이 스턱스넷 악성코드가 담긴 USB를 시스템에 꽂기만 했었죠. 물론 최근에는 매체제어 솔루션과 같이 허용된 USB 외에는 사용할 수 없도록 차단하거나, USB 자동 실행 설정을 방지해서 백신이 검사하도록 만들어서 이런 위험을 최소한으로 줄일 수는 있지만 이렇게까지 보안을 잘 지키는 곳들은 많이 없을거라고 생각됩니다.

​

사실 더 큰 문제는 예전과 달리 국가의 중요한 시설들을 제어하는 시스템들이 너무 빠르게 디지털화가 되고 있어서, 일반적으로 법에서 규제하는 망분리라는 개념이 완전히 적용될 수 있는 것인가 우려도 듭니다. 분야마다 다르긴 하겠지만 망분리 때문에 오히려 업무 효율성이나 생산성이 과도하게 저하되는 문제도 있다는 건데요. 인터넷에 연결해서 업데이트를 하면 쉽게 끝날 것을 망분리가 되어있는 시스템에 승인을 받고 일일이 수작업을 해야한다면.. 업무하는 사람 입장에서는 위에서 말씀드린 것처럼 우회 방법을 찾게되겠죠.

 

스턱스넷부터 다크호텔까지 망분리 시스템 공격한 멀웨어 분석했더니

위의 기사에서는 망분리 시스템을 공격하는 사례들을 찾아보니, 완전하게 망분리가 되어있는 곳에서 공격할 수 있는 방법은 USB뿐이라는 연구 결과에 대해 말하고 있습니다. 예전에 우스갯 소리로 악성코드에 감염되지 않으려면 랜선을 끊어라..라는 어이가 없으면서도 이론적으로 맞는 말을 많이 들었던 것 같은데, 여기에 USB 차단이라는 말도 같이 추가해야할 것 같은데요. 하지만 망분리가 된 시스템에서 실제 패치를 USB로 사용하는 경우도 많기에 매체제어 솔루션을 통해서 좀 더 정교한 제어를 하는 방향으로 나아가야하지 않을까 생각해봅니다. 그럼 오늘은 여기까지 말씀드리도록 하죠. 감사합니다.