[아이티데일리] “2024년에는 거의 모든 장치가 라우터가 될 수 있다”

런제로(runZero)의 창립자 겸 CEO인 HD 무어(HD Moore)의 말이다.

정보 기술의 발전에도 불구하고, 보안 실무자들은 여전히 어려움에 직면해 있다. 보안이 강화된 설계, 제로 트러스트 아키텍처, 그리고 보안 인식의 향상이 네트워크 보호에 기여하고 있지만, 네트워크 다크 매터(Dark Matter)와 접근 제한 실패, 네트워크 구역 침해 및 감염확산, 정책위반 같은 세그멘테이션 실패 등의 문제는 여전히 우리를 괴롭히고 있다.

이러한 문제는 종종 방어자의 직접적인 통제 밖에 있기 때문에 해결하기 어려우며, 공격자가 악용할 수 있는 발판을 제공하기도 한다.

이번 기고에서는 네트워크 다크 매터(Dark Matter) 그리고 세그멘테이션 붕괴와 관련된 복잡한 자산 관리 그리고 각종 장치와 네트워크의 취약점에 대해 알아본다.

다크매터(Dark Matter): IoT 및 임베디드 장치

네트워크에 연결된 장치들에 대한 관리, 모니터링 그리고 업데이트 수준은 ‘가시성의 계층 구조’로 나눌 수 있다.

가장 상위 계층에는 인간이 직접적으로 상호작용하거나 생산 시스템의 일부를 이루는 장치들이 있다. 노트북, 데스크톱, 서버, 라우터, 스위치 등이 여기에 해당한다. 이들 장치는 주로 간이 망 관리 프로토콜(SNMP)이나 엔드포인트 관리(EPM) 소프트웨어와 같은 메커니즘을 통해 정보 보안 팀에 높은 가시성을 제공한다. 보통 이러한 시스템은 일괄적으로 자동으로 설치되는 관리형 업데이트를 받는 경우가 많다.

중간 계층은 ‘제한된 가시성’을 가진 장치들로 사무실 곳곳에 존재한다. 스마트 TV, 프로젝터, 셋톱박스, 애플(Apple) TV와 같은 미디어 장치, 무선 액세스 포인트, 프린터 등이 여기에 속한다. 이러한 장치는 네트워크를 통해 업데이트를 지원하지만, 자주 업데이트되지는 않으며, 수동 개입이 필요할 수 있다.

그리고 마지막으로 네트워크의 다크매터(Dark Matter)가 최하위 계층을 구성한다. 우주론에서의 ‘다크 매터’처럼 이 장치들은 네트워크에 존재하기는 하지만 IT와 관리 도구상에는 대부분 보이지 않는다. 온도 조절기, 스마트 플러그와 조명, 어항 펌프, 냉장고, 스프링클러 시스템, 물리적 접근 제어 시스템 등이 여기에 해당한다. 이러한 장치들은 몇 년 동안 눈에 띄지 않을 수 있다. 업데이트는 드물거나 아예 없으며, 가능하다면 수동으로 적용해야 할 수도 있다.

마지막 두 계층의 장치들은 종종 ‘가시성 있는’ 장치보다 더 많을 수도 있으며 때로는 그 수가 생각보다 많기도 하다. 런제로(runZero) 클라우드 데이터 분석에 따르면 가상 머신을 제외한 물리적 자산의 경우 제한된 가시성 장치가 45.46%, 마크 매터 장치는 19.09%로 나타났다.

세그멘테이션의 붕괴

네트워크 세그멘테이션의 기본 원칙은 서로 다른 신뢰 수준과 비즈니스 기능을 가진 시스템 간의 통신을 차단해 보안을 개선할 수 있다는 것이다. 예를 들어, 회사는 사무실 방문객을 위해 무선 게스트 네트워크를 제공할 수 있지만, 방문객이 중요한 파일 서버나 보안 장비와 통신하는 것은 막아야 한다.

세그멘테이션은 관리되지 않는 장치의 보안을 강화하기 위한 가장 인기 있는 접근 방식이다. 장치 자체에서 정책을 강제할 수 없는 경우, 그 장치를 다른 네트워크에 배치해 다른 시스템에 접근할 수 없도록 함으로써 침해 위험을 줄일 수 있다. ‘스마트’ IoT 장치가 크게 증가하면서 ISP가 제공하는 주거용 라우터조차 이제는 세그멘테이션 기능을 제공한다.

세그멘테이션은 네트워크 보안을 개선하기 위해 널리 사용되는 접근 방식이다. 네트워크 세그멘테이션을 간과하는 것은 PCI DSS와 같은 일반적인 산업 요구 사항에 반하는 것이라 할 수 있다.

세그멘테이션은 목표로서는 훌륭하지만, 실패하기 쉬워 여러 문제를 야기하기도 한다. 세그멘테이션은 시스템들이 비즈니스 기능에 따라 그룹으로 조직되고, 그 시스템들은 다른 그룹과 통신을 하지 않는 것으로 가정한다. 그러나 세그먼트 내 시스템의 수가 증가하면서 다음과 같은 두 가지 이유로 문제가 발생하기도 한다.

첫째, 네트워크 세그먼트 내에 추가되는 각 시스템은 전체 세그먼트의 보안을 약화시킬 수 있다. 이는 시스템이 추가되면서 추가 네트워크 서비스가 노출되거나 동료 시스템들과는 다른 형태의 인증을 받아야 하는 경우 발생할 수 있기 때문이다. 세그먼트 내 시스템의 타협은 추가 공격의 발판을 제공할 수 있으며, 이러한 공격의 대부분은 공격자가 같은 로컬 네트워크에 있을 때만 가능하다는 점에서 문제가 된다. 서비스와 인증 출처의 다양성이 클수록 공격의 성공 가능성은 커지며, 이 노출은 매번 추가될 때마다 확장된다.

둘째, 최신 장비는 복잡하며, 단일 네트워크 인터페이스를 가진 시스템은 거의 없다. 상호작용하는 거의 모든 장치는 여러 가지 방법으로 통신할 수 있다.

휴대폰은 동시에 여러 네트워크 인터페이스를 지원할 수 있다(무선, 블루투스, 4G/5G, AWDL, NFC 등). 최신 노트북은 기본적으로 여섯 가지 인터페이스를 제공한다. 단순해 보이는 네트워크 프린터조차 기본적으로 무선, 블루투스, 이더넷이 활성화되어 있다.

세그멘테이션은 장치를 네트워크에 배치하면 접근이 제한된다고 가정하지만, 모든 장치가 여러 네트워크 인터페이스를 갖고 있고 이러한 인터페이스가 무선 프로토콜을 통해 물리적 연결 간에 이동할 수 있는 경우에는 그렇지 않다.

사례 연구: 사무실 프린터

소규모 사무실 프린터는 네트워크 세그멘테이션의 도전 과제를 잘 보여주는 한 예이다. 일반적인 복합기(또는 다기능 센터, 즉 MFC) 프린터는 기본적으로 이더넷, 블루투스 및 무선 네트워크를 지원한다. 프린터의 무선 인터페이스는 열린 액세스 포인트로 노출돼 장치의 물리적 범위 내에 있는 프린터와 통신할 수 있도록 해준다. 여러 이유로 인해 프린터는 종종 유선 이더넷에 직접 연결되며, 무선 인터페이스는 여전히 활성화된 상태로 남아 있다.

보안 관점에서, 여러 네트워크를 가진 장치(다중 홈 장치라고도 함)는 위험을 초래할 수 있다. 그렇다면 위의 프린터의 경우 얼마나 위험할까? 공격자가 프린터를 해킹하고 트래픽을 중계할 수 있다면, 이는 당연히 큰 문제가 된다.

안타깝게도, 프린터에는 종종 또 다른 까다로운 기능이 탑재되어 있는데, 이를 비활성화할 방법이 없다. 그 원인은 바로 IP 포워딩(IP forwarding) 때문이다. 많은 프린터가 네트워크 라우터처럼 작동하며, 하나의 네트워크 인터페이스를 제외하고는 이 기능을 설정할 방법을 제공하지 않는다.

IP포워딩 기능은 장치의 한쪽에 연결된 공격자가 패킷을 반대쪽 네트워크로 라우팅할 수 있도록 한다. 이 기능이 항상 네트워크 주소 변환(NAT)이 활성화된 것을 의미하지는 않지만, 단 방향 패킷 전송만으로도 치명적인 결과를 초래할 수 있다. 예를 들어, 소스 주소 스푸핑을 사용해 대상 장치가 인터넷에 노출된 공용 IP에 응답하도록 강제할 수 있으며, 이를 통해 격리된 네트워크에 양방향 통신 채널이 열리게 된다. 심지어 IP포워딩이 활성화된 단일 인터페이스 장치도 이 기능을 악용해 자신의 MAC주소와 네트워크에서 메시지를 반복 전송하도록 강제할 수 있다.

네트워크 인터페이스 간에 IP 트래픽을 기본적으로 포워딩하는 장치는 프린터에만 국한된 것은 아니다.

런제로(runZero)는 액티브 스캔 중 IP포워딩을 테스트하며, IP전화기, 네트워크 스토리지 장치, 미디어 서버, 네트워크 카메라, DVR, 배터리 백업 장치, 스마트 TV, 비디오 게임 콘솔, 심지어 스마트 전구에서도 이러한 동작을 확인했다. HVAC* 제어 장치에서 프로그래머블 로직 컨트로러(PLC)에 이르기까지 산업 자동화 장비도 설명할 수 없는 이유로 IP포워딩을 활성화하고 있다.

그렇다면 왜 이런 일이 발생할까? 이러한 장치들은 펌웨어에서만 볼 수 있는 가상 네트워크 인터페이스가 있다. 이 가상 인터페이스 간 통신을 위해서는 IP 포워딩이 활성화되어야 하며, 외부 인터페이스에서 패킷을 수신하지 못하도록 하는 방화벽 규칙이 추가되지 않은 상태이다.

이러한 동작은 서버와 워크스테이션에서도 나타날 수 있다. 예를 들어, 개발자가 자신의 노트북에서 컨테이너를 사용해 개발을 수행하는 경우, 컨테이너 환경은 종종 가상 네트워크 인터페이스를 생성하고 인터페이스 간 통신을 위해 IP 포워딩을 활성화한다. 네트워크 프린터의 경우와 마찬가지로, 노트북이 유선과 무선 네트워크에 모두 연결되어 있다면, IP 포워딩 기능은 사실상 노트북을 이들 세그먼트 간의 라우터로 만들어 버린다. 방화벽 규칙이 이를 방지하지 않기 때문이다.

세그멘테이션을 넘어선 보안 강화

네트워크 세그멘테이션은 여전히 보안을 강화하기 위한 최고의 도구 중 하나이지만, 최신 장비와 함께 그 한계 또한 분명해지고 있다. 네트워크 다크매터와 세그멘테이션 붕괴를 관리하는 복잡성은 공격에 대한 방어를 점점 더 어렵게 한다.

이러한 문제를 해결하려면 자산 디스커버리, 공격 표면 관리 및 신종 위협의 탐지를 개선해 고도화된 위협으로부터 네트워크를 보호하기 위한 포괄적인 CAASM(사이버 자산 공격 표면 관리) 접근 방식이 필요하다.