중국 기(杞)나라의 우(憂)란 사람이 하늘이 무너지고 꺼지면 몸 붙일 곳이 없어질 것을 걱정한 나머지 침식을 폐하고 말았다는 우화에서 '기인지우(杞人之憂)', 즉 '기우(杞憂)'란 말이 유래했다. 필요없는 걱정을 한다는 말로 회자된다.
넷플릭스에서 방영된 '돈 룩 업'이란 영화는 지구 충돌 궤도에 진입한 소행성을 소재로 다뤘다. '돈 룩 업'에 등장하는 지구방위조정실(PDCO)은 실존하는 기구로, 미국 항공우주국(NASA)이 설립했다. 최근 남반구에 소행성 추적 망원경을 추가해 앞서 운영중인 북반구를 포함, 지구 전역 감시망을 완료했다. 소행성 충돌에 이렇게 철두철미하게 대응하고 있지만 대다수 사람은 이를 기우라고 생각한다. 소행성 충돌의 빈도가 극히 낮기 때문에 쉽게 와닿지 않기 때문이다.
지난해 말부터 월패드 해킹 관련 기사가 쏟아지고 있다. 왜 이런 문제가 발생했고, 정보보안 체계에서 어떻게 작동하고 대응하는 지에 대한 정확한 설명없이 불안감을 조장하는 기사가 적지않다. 정부가 올해부터 망분리 등을 시행한다고 하지만 관련 대책으로 어떻게 대응해야 할지 감이 잘 잡히지 않는다. 이는 월패드 해킹 문제를 기우로 만드는 원인이기도 하다.
반대로 월패드 해킹의 방식과 대응 방안을 정확히 알면 기우는 사라진다.
월패드는 홈네트워크의 최종 공격 목적지다. 대다수가 간과하지만 월패드 보안은 외부 접속 차단 및 앱 설치 기능을 제어하는 것만으로도 방어할 수 있다.
홈넷에는 월패드 외에도 월패드를 관리하기 위해 각 아파트 단지에 설치하는 서버로 일명 단지서버, 사용자가 월패드에 접속하기 위해 인증을 담당하는 월패드 제조사의 인증서버가 있다.
단지서버와 인증서버의 운영체제는 리눅스 또는 윈도 서버를 사용하며, 애플리케이션은 웹 시스템이다.
홈네트워크에서 월패드로 가기 전에 반드시 인증서버와 단지서버를 거쳐야 한다. 어떠한 공격 방법을 고안해도 두 개 서버를 거치지 않고 월패드에 접근하는 것은 불가능에 가깝다.
1단계 대응은 '인증서버와 단지서버는 웹 서버이므로 웹방화벽 대응이 반드시 필요하다'는 것이다.
2단계 대응은 복잡하다. 인증서버의 경우 크리덴셜 스터핑과 SQL인젝션 공격에 세밀하게 대응하기 위해 통합보안이벤트관리시스템(SIEM)과 연동해 전체 접속 데이터 분석 대응이 필요하다. 크리덴셜 스터핑은 '한 사이트에서 확보한 계정을 분석해서 또 다른 사이트의 정보를 알아내는 방법'이다. 아카마이 발표 자료에 의하면 2020년 금융권 공격의 82%를 차지할 정도로 해커가 가장 좋아하는 공격 기법이다. 웹 인증 방식의 약한 부분을 이용하는 이 방법을 웹방화벽에서는 차단할 수 없다. 이를 해결하려면 웹에 접속하는 전체 데이터를 통합보안이벤트관리시스템에 저장해 통계적 방법을 사용, 일반 사용자와 해커를 구분해야 한다. 통합보안이벤트관리시스템이 웹방화벽과 연동해 자동 차단하는 것이 가장 효과적이다.
단지서버는 웹셸 공격으로 단지서버를 장악해 월패드로 접근할 수 있으므로 엔드포인트보안(EDR)으로 2차 대응이 필요하다.
하드웨어 보안 칩 설치나 망분리 시스템의 경우 월패드를 포함해 홈네트워크를 관리할 수 없다면 필요할 수도 있다. 하지만 월패드의 접근을 단지서버로 한정해 외부에서 접속을 차단하고 앱을 설치할 수 없도록 관리한다면 필요하지 않다.
홈네트워크는 정보보안 관점에서 크지 않은 작은 네트워크 단위다. 홈네트워크 공격을 추적, 관리할 수 있는 웹방화벽(WAF), 엔드포인트보안(EDR), 통합보안이벤트관리시스템(SIEM)으로 완벽히 대응할 수 있다. 홈네트워크 해킹으로 우리 사생활이 노출될 거란 기우에서 벗어나길 바란다.
걱정해야 할 부분은 따로 있다. 아파트 관리비 상승으로 이어지지 않게 하려면 온프레미스가 아니라 클라우드 SECaaS (Security as a Service) 방식으로 제공하고, 시스템을 이용해 상시 관리할 수 있는 보안관제서비스를 구축해야 하는 것이다.
신승민 큐비트시큐리티 대표 joo@qubitsec.com
-
최호 기자기사 더보기