RED IRIS실, 내·외부 취약점 맞물리는 사각지대 ‘이클립스’ 리포트 발간
접근제어 솔루션 탈취, 외부 터널링, 클라우드 인증정보 악용 수법 상세 분석

[보안뉴스 조재호 기자] 금융권 보안 핵심 통제 수단인 망분리 체계가 고도화된 해킹 기법 앞에서 언제든 무력화될 수 있다는 강력한 경고가 나왔다.

금융보안원은 금융권 망분리 환경의 환경의 취약점을 공격자 관점에서 심층분석한 ‘레드아이리스 인사이트 리포트: Campaign Eclipse’를 4일 발간했다. 리포트는 기술적·관리적 허점이 연쇄적으로 결합되면 기존 망분리 체계도 무력화 될 수 있음을 시사하며, 망분리 맹신에서 벗어날 것을 경고했다.

금융보안원 레드 아이리스실(RED IRIS)은 망분리 환경의 내·외부 취약점이 맞물려 방어 체계가 무력화되는 상황을 빛이 가려진 일식 현상에 비유했다. 이들은 실제 해킹 기법을 연계해 세 가지 고도화된 침투 시나리오를 제시했다.

△내부 데이터 유출(Operation Egress Chain)은 공격자가 업무망의 임직원 PC나 보안이 취약한 서버를 해킹해 거점을 확보하고, 다수의 서버를 제어하는 접근제어 솔루션의 관리자 권한을 탈취한다. 이후 확보한 권한으로 외부 연결이 허용된 서버를 비밀 경로로 삼아 비업무망을 거쳐 데이터를 유출하는 방식이다.

△업무망 침투(Operation Ingress Chain)는 외부 공개된 홈페이지나 연계 서버의 취약점을 악용해 시스템을 장악하는 방식이다. 외부와 차단된 업무망 서버로 연결 통로를 구축하고, 업무망 주요 관리 시스템의 권한을 탈취해 다수 서버 제어권을 확보한다.

△클라우드를 통한 유출(Operation Pivot Net)은 클라우드 관리 권한을 가진 직원의 업무망 PC를 해킹에 원격 제어 권한과 인증 토큰 등 자격증명을 탈취하는 시나리오다. 이 방식은 클라우드 서버 인프라를 장악하고 업무망에서 클라우드를 경유해 내부 정보를 외부로 유출한다.

금융보안원은 최근 망분리 완화 논의가 지속되고 내부자에 의한 유출 사고가 빈번해짐에 따라 실전형 모의해킹을 통한 선제적 방어 전략 수립이 필요하다고 지적했다.

대응 방안으로는 주기적 취약점 관리와 휴리스틱 및 행위 기반 탐지, 기업 전반의 인증 정보 관리 등 기술적 조치와 함께 기본 계정 검수 및 예외 허용 네트워크(DNS, SMTP 등)에 대한 주기적 점검과 관리 조치를 주문했다. 또 보안 솔루션 자체도 공격 표적이 될 수 있으므로 도입 이후에도 철저한 관리가 필요하다고 권고했다.

이번 보고서는 금융보안원 홈페이지에서 열람할 수 있으며, 자세한 내용은 20일 금융권 대상 ‘취약점 분석·평가 정보공유 세미나’에서 발표될 예정이다.

박상원 금융보안원장은 “금융보안원은 앞으로도 레드팀 모의해킹을 통해 금융 서비스에 잠재된 보안 위협을 사전 식별하고 대응할 수 있도록 적극적 역할을 수행하겠다”고 말했다.

[조재호 기자(sw@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>