네트워크 프로토콜 틈새 공격, ‘장치와 네트워크 분리, 마비’
‘관리 프레임’으로 가짜 인증 해제 프레임 전송 ‘운영 중단 유발’
전문가들 “대부분 와이파이, 인증해제공격에 ‘무방비’” 우려
[애플경제 전윤미 기자] 사이버공격에 대한 보안 기술도 발달하고 있음에도 불구하고, ‘와이파이’ 네트워크는 여전히 가장 취약한 사각지대에 노출된 영역으로 인식되고 있다. 카페나 공공기관, 공공시설 등 대중적인 공간에선 특히 와이파이에 의한 보안 위협이 크다는게 상식이다.
일련의 연구에 따르면 이같은 무선 네트워크는 특히 대규모 해킹에 자주 동원되는 사이트 마비에 의한 트랜젝션 불능, 즉 ‘DoS’ 공격에 취약한 것으로 나타났다.
전문가들 “2단계 인증 해제도 절대 금물”
특히 최근엔 인증해제공격에 대한 우려가 높아지고 있다. 국내 보안업체 이글루 코퍼레이션의 한 관계자는 “그렇잖아도 귀찮다고 여긴 나머지 2단계 인증을 해제하는 직장인들이 많은데 자칫 회사 전체가 큰 피해를 당할 수 있다”면서 “아무리 복잡하고 난해한 비밀번호도 해커들은 키로깅 공격을 통해 알아낼 수 있는데, 문자나 메일, 생체 인증과 같은 2단계 인증만이 이를 막아낼 수 있다”고 강조했다.
더욱이 최근엔 해커들이 아예 인증을 해제함으로써 좀더 파괴적인 수법으로 무선 네트워크를 장악하는 공격이 늘어나는 것으로 알려져 한층 주의가 필요하다는 지적이다. 실제로 수많은 OT 및 IoT 환경에서 원격 측정을 분석한 글로벌 보안업체인 노조미 네트웤스에 따르면 거의 모든 와이파이 네트워크가 이같은 인증 해제 공격에 대한 적절한 보호 기능이 없는 것으로 알려졌다.
특히 이들 사이버공격자들이 시도하는 인증 해제 공격은 네트워크 프로토콜의 틈새를 표적으로 삼아 장치를 네트워크에서 강제로 분리하고 운영을 중단시키는 DoS 공격의 한 형태다. 일종의 강력한 신종 수법이라고 할 수 있다.
인증해제공격, ‘신종 DoS 공격 수법’
세계보안엑스포에 매년 참가하고 있는 국내 보안업체 파이오링크의 또 다른 관계자도 그 파괴적이고 치명적인 특성을 강조했다. 특히 “해커들은 와이파이 프로토콜의 내장 기능인 기기와 액세스 포인트 간 통신에 사용되는 관리 프레임을 악용한다”면서 “이 경우 가짜 인증 해제 프레임을 전송해 기기를 네트워크에서 고의로 분리하는 수법을 쓴다”고 했다.
이를 통해 데이터 탈취나 무단 액세스와 같은 침해가 이뤄질 수 있고, 또 다른 치명적 공격으로 이어질 수 있다는 우려다. 이 경우 더욱 큰 문제는 “국내 대부분의 무선 네트워크들은 이에 대비한 ‘관리 프레임 보호’(MFP) 장치가 없다는 점”이다. 그래서 사이버 범죄자들은 관리 프레임을 거침없이 스푸핑할 수 있게 된다.
그래서 “중요한 국가적 인프라 네트워크를 포함한 거의 모든 네트워크가 이런 수법에 취약할 수 밖에 없다”는 경고다.
다중시설의 무선 네트워크 대부분이 이러한 취약점을 안고 있다보니, 인증해제공격에 그대로 노출될 수 밖에 없다. 예를 들어 의료 분야가 대표적이다. 이런 무선 네트워크의 취약성으로 인해 환자 데이터에 무단으로 액세스하는 등 중요한 시스템에 대한 침투가 용이하게 된다. 이 외의 각종 산업 분야환경에서도 자동화된 프로세스가 혼선을 빚게 하거나, 생산 라인을 중단시키곤 한다. 심지어는 그로 인해 공정의 안전시스템을 마비시켜 작업자의 안전을 심각하게 위협하는 사태가 빚어지곤 한다.
공공 및 다중시설 와이파이에 대한 이같은 위협은 국내 뿐 아니라 해외 각국에서도 더욱 큰 문제가 되고 있다. 그래서 미국과 유럽 등 주요국들은 ‘무선 보안’을 국가 인프라 보안의 최우선 과제로 설정, 보안 대책을 강화하고 있다.
특히 ‘볼트 타이푼(Volt Typhoon)’, ‘솔트 타이푼(Salt Typhoon)’ 등은 최근 몇 년 동안 미국 등 주요국의 무선 네트워크를 공격하고 있는 대표적인 집단이다. 중국을 배후로 한 이들 집단은 미국 등 주요국의 중요 인프라를 망라하며, 네트워크를 손상시키는 것으로 파악되고 있다.
中 배후 ‘볼트 타이푼’, ‘솔트 타이푼’ 등 기승
특히 최근 벌어진 미국 통신 산업을 겨냥한 해킹과도 관련이 있는 것으로 알려지고 있다. 이들은 무선 네트워크 공격을 통해 고위 정치인들이나 의사결정권자들의 대화를 녹음했을 뿐만 아니라, 미국 전력망을 구성하는 네트워크도 공격하곤 했다.
이에 대해 앞서 파이오링크 관계자는 그 수법 몇 가지를 지목했다. 예를 들어 해커들은 불법적인 액세스 포인트를 배포, 합법적인 네트워크로 위장한다. 이를 통해 네트워크 디바이스를 혼란케함으로써 민감한 정보를 노출시킬 수 있다. 특히 ‘재밍’ 공격은 공격자가 무선 네트워크를 장악해서 가동과 운영을 중단시키는 매우 유용한 수법으로 꼽히고 있다.
암호화되지 않은 무선 프로토콜의 통신을 가로채는 도청도 유의해야 한다는 지적이다. 이를 통해 침입자들은 자격 증명을 훔치거나, 민감한 데이터를 읽거나, 회사 운영 시스템이나 공정 전체를 한 눈에 들여다볼 수도 있다.
이에 보안 전문가들 중엔 ‘정적(靜的) 보안 조치’가 아닌, 활성화되고 탄력적으로 대응할 수 있는 ‘動的 보안 조치’로 활성화해야 한다는 목소리도 높다. 앞서 노조미 네트웤스는 “세분화된 네트워크 전략이 곧 ‘동적 보안 조치’로서 유용한 대책”이라며 “이상 탐지와 대응을 위한 우선 순위 지정, 엔드포인트 보안 강화, 봇넷의 공격 범위 제한을 위한 네트워크 세분화 적용이 필요하다”고 강조했다.
특히 “인증 해제 공격에 대비하기 위해 정기적인 감사를 통해 무선 네트워크 보안을 강화할 필요도 있다”고 주문했다.