제19회 해킹보안 세미나 개최
제로 트러스트 관점 접근해야
완벽 차단 불가능…피해 최소화 우선
 

아파트 월패드 해킹으로 촬영 사진 17만건 유포, 원자력연구원 VPN을 통한 외부 접속 등 사이버 보안의 위협이 기업, 국가기관, 기업 가리지 않고 일어나고 있는 가운데 사이버 보안 취약성에 대해 알아보고 해결 방안을 제시하는 자리가 마련됐다.

국회 4차산업혁명포럼과 한국해킹보안협회는 15일 국민의원회관에서 제19회 해킹보안 세미나를 개최했다.

곽진 아주대학교 교수는 지난해 발생한 월패드 보안사고를 주제로 보안의 필요성과 한계에 대해 발표하며 '제로 트러스트 관점’의 보안이 필요하다고 강조했다.

아파트 월패드 공격은 지난해 10월 홍콩의 한 포럼에서 한국 아파트 17만 가구의 월패드 해킹 촬영 사진이 유포되면서 수면 위로 떠올랐다. 이 사이버 공격은 아파트 관리 웹사이트 내 게시판을 통해 발생했다. 기초적인 해킹 공격 기법인 ‘웹셀’을 통해 월패드가 해킹 당해 스마트홈 월패드 보안 수준에 대한 심각성이 인식된 사례로 꼽힌다.

‘웹셀’ 공격은 파일 업로드 기능을 이용해 원격 코드 실행이 가능한 악성코드를 업로드 할 수 있으며 업로드 되는 파일의 확장자에 대한 적절성 여부를 검증하지 않는다. 

월패드의 네트워크 구조는 위에서부터 △중앙관리 서버 △아파트 단지 서버 △공용시설 제어 서버(주차장, 엘리베이터 등) △아파트 동 게이트웨이 △세대 월패드로 구성된다.

월패드 데이터의 흐름은 △아파트 단지 서버 검색 △단지 서버로 데이터 전달 △동 게이트웨이로 데이터 전달 △월패드에서 기기 제어 순으로 연결된다. 

저번 사이버 공격은 아파트 단지 서버를 검색하는 중앙관리 서버에서 발생해 제일 마지막인 월패드까지 뚫린 것이다. 이는 블랙아웃도 가능할 정도의 위험을 가졌다고 평가된다.

지난 공격에 대한 대응책으로 중앙관리서버부터 월패드에 방화벽을 설치해 공격을 차단하겠다는 이야기가 오고 갔다. 

곽진 교수는 이 방법에 대해 의문을 제기했다. 방화벽을 설치하는 비용과 유지 및 관리를 아파트 관리사무소가 감당할 수 있느냐는 것이 그의 의견이다.

2022년 7월부터 ‘지능형 홈네트워크 설비 설치 및 기술기준’이 개정된다. 홈네트워크를 통해 발생할 수 있는 보안 사고 예방과 망의 안정적인 운용을 위한 것이다.

곽 교수는 이 개정법이 ‘강제’는 아니며 홈네트워크에 스마트뱅킹과 같은 인증확인 절차를 설치하는 것이 사용자 입장에서 합리적인지 제고해볼 필요가 있다고 전했다. 

그는 “‘망 분리’ 도입만으로 보안이 완벽해진다는 접근은 위험하다”며 “아무도 신뢰하지 않고, 모든 사용자에 대한 철저한 인증 및 검증을 통해 권한 부여를 수행하는 ‘제로 트러스트 관점’의 보안이 필요하다”고 강조했다.

가정뿐만 아니라 국가기관과 기업들도 사이버 공격으로 인해 골머리를 앓고 있다.

국내 랜섬웨어 피해신고는 2020년 127건, 2021년 223건으로 1년 사이에 76%가 증가했으며 원자력연구원은 VPN을 통해 해킹 당하는 등 핵심기술의 유출 위험도 있었다. 국정원은 2017년부터 2022년 2월간 총 99건의 핵심기술 유출 시도가 적발됐다며 규모는 22조원대라고 발표했다. 코로나19로 비대면 업무가 늘어나며 해킹 시도도 증가했다고 평가된다.  

이무성 엠엘소프트 대표는 “’망 안에 들어오면 믿겠다’를 전제로 하는 ‘망 분리’는 초연결사회에서 매우 위험하다”며 “동일 네트워크 구간 및 망내에서 개인 PC간, 서버 상호간, 또는 애플리케이션 간 이동할 수 있는 ‘횡적이동’을 금지하는 것이 제로 트러스트의 기본”이라고 설명했다.

곽 교수와 이 대표 모두 공격을 완전히 차단하는 것은 불가능하다고 말했다. 대신, 공격이 발생했을 때 빨리 대처해 피해를 최소화시키는 것이 핵심이며 얼마나 빨리 복구할 수 있는지에 대한 기술도 중요하다고 입을 모았다.