IT Solutions

[RED팀] 보안을 위해 일부러 '해킹'을 한다고?

2021. 2. 26. 09:30

코로나19로 인해 재택근무, 원격개발 등 업무 환경에 많은 변화가 생기고 있습니다. 이에 따라 해커의 사이버공격도 이전과는 달라지고 있습니다. 상대적으로 취약해진 IoT 개인 디바이스 공격과 확산된 스마트시티의 생활 주변 기기와 시스템 공격, 그리고 OT(운영기술) 설비 공격이 이슈화되고 있습니다. 게다가 정교하게 계획된 소프트웨어 공급망 공격, 기업 클라우드를 목표로 한 공격이 이어지고 있습니다.

 

LG CNS는 해커의 공격 방법이나 타깃 변화에 따라 대응책을 준비하고, 보안 취약점 찾기 고도화를 지속해 왔습니다. 이번 호에서 웹과 모바일, IoT, 공장, 클라우드의 순으로 진단 사례와 서비스를 소개합니다.

 

 1. 웹의 보안 실태

 

LG CNS는 지난 2년 간 프로젝트를 대상으로 웹 모의 해킹을 실시해 진단했습니다. 진단 후 해킹에 취약한 5가지 사례를 정리했는데, 결과는 다음과 같습니다.

 

1위. 정보 노출(부적절한 오류 처리) 77%

2위. 요청/응답 변조를 통한 인증 우회 및 권한 획득 59%

3위. 불필요한 포트 오픈 53%

4위. 중요 정보 송수신 시 안전한 프로토콜 적용 51%

5위. 악성 스크립트 허용 45%

 

특히 점검 프로젝트의 59%에서 인증 문제가 발견됐는데요, 이는 이메일 인증이나 휴대폰 SMS 인증 우회, 다른 사용자의 비밀번호를 초기화하고 임시 패스워드 획득, 그리고 다른 사용자의 정보 변경 공격이 가능하다는 것을 의미합니다. 개발자의 시큐어코딩, PL 코드 리뷰, 정적분석 과정이 아닌 모의 해킹을 통해서 사전에 발견되었다는 점이 시사하는 바가 큽니다.

 

 2. 모바일의 보안 실태

 

스마트폰 앱은 금융거래, 원격 업무 지원을 넘어 모바일 신분증, 교통수단 결제 등 IoT와 연동되기 시작했습니다. 요즘은 신분증을 모바일로 제시할 수 있고, 전동 킥보드를 모바일 앱으로 연동하여 잠금 장치를 해제하여 라이딩 할 수 있습니다. 또한 홈 CCTV나 주방가전 기기를 앱으로 원격 제어할 수 있는 세상입니다.

 

모바일 앱의 보안 실태는 점검한 결과, 취약점 1위부터 5위는 다음과 같습니다.

 

1위. 요청/응답 변조를 통한 인증우회, 권한획득 95%

2위. 바이너리 보호 부족 : 보안모델 위배 90%, 난독화 미흡 81%

3위. 취약한 데이터 스토리지 70%

4위. 데이터 암호화 부족 63%

5위. 계정 취약점(인증 실패 횟수 제한 미존재) 53%

 

과거에도 꾸준히 문제 제기됐던 모바일 앱 보안은 여전히 81%의 앱에서 난독화가 미흡하고, 63%의 앱에서 데이터 암호화가 부족한 것으로 나타났습니다. 이 같은 취약점이 보완되지 않는 것은 위험성을 체감하지 못한 탓일까요? 작년에 열린 국정감사에서는 한 국회의원이 직접 앱 해킹 장면을 시연할 정도로 비전문가도 손쉽게 앱을 위,변조 할 정도로 보안 위협에 노출되어 있습니다.

 

 3. IoT의 보안 실태

 

IoT보안 위협은 사이버보안 뿐 아니라 현실에서도 영향을 미칩니다. 만약 우리가 손쉽게 빌릴 수 있는 킥보드에 원격 제어 취약점이 발견된다면 공격자가 원격에서 브레이크를 작동시켜 사람을 다치게 할 수 있겠죠. 그리고 주방가전 기기 취약점이 있다면 해킹을 통해 생활불안을 야기할 수 있습니다. 공장 PLC(원전 안전등급제어기기) 설비가 해킹된다면 설비가 멈추어 경제에 미치는 손해는 막대할 것입니다.

 

IoT 보안 모의 해킹 영역 예시 

 

LG CNS는 IoT기기 모의 해킹을 독자적인 방식으로 개척하여 다양한 제조사와 통신사의 기기를 대상으로 점검했습니다. 실제 해커들의 기술과 동일하게 SW 점검뿐만 아니라 기기를 분해하여 칩을 기판에서 분리하고 메모리 정보를 획득하여 취약점을 찾는 방식으로 재현했습니다. IoT 모의 해킹 점검 기준은 GSMA, IPA, OneM2M, KISA의 보안 가이드라인을 참고하여 만들었습니다.

 

네트워크 구간과 서버 API의 취약성 분석을 비롯해 기기/네트워크/서버 점검으로 제공 서비스의 총체적인 보안 취약점을 찾아서 대응방안을 수립할 수 있습니다. LG CNS는 보안 점검 노하우를 대외 보안가이드에 기고 형태로 반영하고 있으며, 2020년 과학기술부의 IoT보안인증제도 개선 연구반에도 참여하면서 보안 전문가로서 보안의 방향성을 제시하고 있습니다.

 

4차 산업혁명 시대의 IoT보안은 가전, 교통, 금융, 스마트도시, 의료, 제조생산, 주택, 통신 등 8대 산업별로 세분화되는데, LG CNS는 이러한 변화에 선제적으로 대응하고 있습니다.

 

 4. 공장의 보안 실태

 

‘이스라엘 전력공사가 심각한 해킹 공격의 피해를 받아 이틀 동안 업무가 마비됨’, ‘우크라이나 전력 배전 회사의 해킹으로 약 8만 명의 고객이 정전으로 전력 사용이 중지됨’

 

공장 설비 해킹은 위의 사례처럼 침해 사고에 더해 사회 불안까지 일으킬 수 있습니다. OT(운영기술) 보안을 준비했던 회사는 이제 제어 PC 뿐 아니라 PLC이나 DCS(분산제어시스템) 설비의 보안도 대비해야 합니다.

 

OT 모의 해킹 영역 예시

 

 

 5. 클라우드 보안 실태

 

2019년 7월 미국의 한 은행에서 1억 600만 명의 고객정보가 유출되는 초유의 사고가 발생했습니다. 이 사고로 복구하는데 든 비용이 1772억 원으로 추산되었다고 합니다.

 

클라우드 환경의 고객정보 유출 사례

 

LG CNS는 멀티 퍼블릭 클라우드 환경(AWS, Azure, GCP)의 보안 설정을 점검 및 가이드하고 있으며, 클라우드 아키텍처를 고려한 대책을 제시합니다. 클라우드 애플리케이션 개발 환경에서 SDL(Secure Development Lifecycle)을 수년간 진행한 경험이 있는데요, 작년에 한국인터넷진흥원(KISA)이 주최한 ‘개발보안 컨퍼런스’에서 SDL 사례를 소개하면서 다음과 같이 시사점을 전달한 바 있습니다.

 

 가상머신, 컨테이너, 서버리스 등 클라우드 컴퓨팅 유형에 따라 개발보안 활동 방법을 구체화해야 하며 활동을 자동화해야 함

 컴퓨팅, DB, VPC(Virtual Private Cloud), IAM(통합 계정·접근관리) 등 클라우드 서비스를 바탕으로 애플리케이션의 보안을 설계해야 함

 클라우드 환경에서 발생할 수 있는 SSRF(Server Side Request Forgery) 등 주요 취약점을 점검하는 활동이 반드시 포함되어야 함

 

이상 5가지 영역의 보안 취약점을 LG CNS의 RED팀에서 진단했습니다. 올해 신설된 RED팀은 보안컨설팅을 기반으로 침투 역량을 키워온 화이트해커 집단입니다. ‘RED’란 용어는 모의 군사훈련 때 아군을 블루팀, 적군을 레드팀으로 이름 붙인 데서 유래되었습니다. RED팀은 공격자(해커) 시각에서 회사의 시스템을 공격하여 취약점을 찾아내고, 대책을 제시하는 역할을 수행합니다.

 

가상의 적군을 동원해 해킹을 시뮬레이션 할 경우 기존의 편견을 배제한 새로운 통찰력을 의사결정자나 보안팀에 제공합니다. RED팀은 나날이 변화하는 사이버 공격에 선제적으로 대응하고자 다음과 같은 다양한 보안 서비스를 제공합니다.

 

RED팀 제공 서비스

 

앞으로 연재를 통해 취약점 분석 정보, 점검 사례, 보안 동향 분석, 보안 자동화 등의 유익한 정보로 독자 여러분을 찾아가겠습니다.

 

 

글 ㅣ LG CNS RED팀

 

* 해당 콘텐츠는 저작권법에 의해 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.

* 해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.

 

 

Posted by IT로 만드는 새로운 미래를 열어갑니다 LG CNS

댓글을 달아 주세요

위로