홈페이지 취약점 분석 이야기 파일 지도 사진 깨알

>> 목록보이기
#물리보안 #정보보안 #USB 부팅 #CMOS 비밀번호 #윈도우 비밀번호 초기화 #공시생성적조작사건 #침해사고 #포이즌탭

물리보안이 무너지면? 정보보안은 끝이다!

2016년 4월, 공무원시험에 응시한 한 청년이 저지른 과감한 "보안뚫기 행위" 때문에 전국이 떠들썩했던 적이 있다. "공시생 성적조작 사건"이라고 알려져있으며 (물리보안+정보보안)을 모두 뚫은 획기적인 사건이다.

4월 8일자 JTBC 보도를 살펴보자.

[JTBC]

어제(7일) 아침 정부종합청사 앞에는 사람들이 100m 넘게 줄을 섰다고 합니다. 신분을 확인하고 소지품을 검사하다 보니 이렇게 지체된 건데요. 이런 낯선 상황을 만들어낸 건 대한민국 정부종합청사의 보안을 허무하게 무너뜨린 26살 공무원시험 준비생 송씨였습니다. 불경기, 청년실업, 지방대 출신의 어려움, 어쩌면 이 모든 것들이 집합 되어있는 사건이 아닌가 싶은데요. 경찰은 송씨의 단독범행으로 잠정 결론지었습니다.
강신후 기자가 전해드립니다.

[기자] 경찰 조사에 따르면 (1) 송 씨는 지난 2월 28일, 주말 휴가에서 복귀하는 의경들 틈에 끼어 청사에 들어갑니다.
그리곤 보안카드가 필요없는 체력단련실로 들어가 신분증을 훔칩니다.
송 씨는 이날 시험 문제지를 훔치려 했지만 실패합니다. 필기시험일은 3월 5일이었습니다.
(2) 필기시험 다음 날 다시 청사에 나타난 송 씨.
이번엔 자신이 치른 시험 답안지를 조작하려고 했지만 사무실 진입에 실패했습니다.
(3) 지난달 24일에는 필기 합격자 명단을 담당하는 인사혁신처 사무실이 있는 16층으로 올라갑니다.
도어록 옆에 적혀있던 비밀번호로 문을 열고 내부진입에 성공하지만 담당 공무원의 컴퓨터를 여는 데는 실패했습니다.
(4) 이틀 뒤 다시 청사 CCTV에 포착된 송 씨는 9시간이나 사무실에 머물며 담당자 2명의 컴퓨터 보안을 뚫고 서류를 조작합니다.
당시 그는 공무원증을 목에 걸고, 슬리퍼를 신고, 카디건 등 편안한 복장으로 오래된 직원처럼 태연하게 청사를 활보했습니다.
심지어 인사혁신처가 합격자 명단이 조작된 것을 알고 (5) 경찰에 수사를 의뢰한 지난 1일에도 5시간 동안 청사에 머물렀습니다.
하지만 경찰이 밝힌 것처럼 송 씨가 다섯 번만 청사를 출입했는지에 대해선 의문이 남습니다.
정부청사 CCTV 녹화 영상은 한 달만 보관하기 때문에 3월 이전 송 씨의 행적을 정확히 파악하긴 힘들기 때문입니다.
제주의 한 대학 졸업반인 송 씨는 2~3년 전부터 공무원 시험을 준비한 것으로 알려졌습니다.
올해 '지역인재 7급 공무원' 시험에 응시해 대학 추천을 받았고 이번이 마지막이라는 절박한 마음에 범행을 저질렀다고 경찰에 진술했습니다.

이 공시생은 다섯번에 걸쳐서 정부서울청사에 침입하여 결국 인사혁신처 공무원 2명의 PC를 장악한 후 합격자 명단을 조작했다고 한다. 신문기사 내용을 보면 첩보전 수준이다.

한국일보 기사의 일부를 살펴보자.

[한국일보]

6일 경찰청과 인사혁신처 등에 따르면 '2016년 국가공무원 지역인재 7급 필기시험'에 응시한 송모(26)씨는 지난달 26일 오후 9시5분께 정부서울청사 16층 인사혁신처 사무실에 몰래 침입해 시험 담당자의 개인용 컴퓨터(PC)에 접속해 합격자 명단을 조작한 것으로 파악됐다.

경찰 “청사 침입은 단독 범행”
외박 복귀하는 의무경찰들 따라
후문 민원실 통해 청사 첫 출입
방호원은 신분증 검사도 안해
혁신처, 사건 은폐 시도 의혹
사무실 벽에 도어록 비번 있었지만 경찰 수사 의뢰때 알리지 않아
컴퓨터 보안시스템 CMOS 암호 “설정 불구 가동 안돼” 거짓 해명도
행자부 관계자는 "패스워드를 우회하는 소프트웨어를 쓰려면 일단 컴퓨터를 켜야 하는데, 보안지침이 지켜졌다면 켜기가 힘들었을 것"이라며 "행정망을 비롯한 보안시스템 자체의 허점인지 아니면 이를 운영하는 절차의 문제에서 비롯된 인적 과실인지는 수사가 더 진행돼야 드러날 것"이라며 말을 아꼈다.
인사처 직원은 이튿날 비밀번호가 해제된 사실을 확인했다고 한다. 그럼에도 보안이 뚫렸다는 사실은 몰랐다고 하니 의문은 꼬리를 문다.

합격자 명단을 조작했다는 내용에서 기술적인 부분을 언급하고 있다. CMOS 암호 이야기도 있고 "보안지침이 지켜졌으면 켜기가 힘들었을 것"이라는 말도 있다.

정말 보안지침이 지켜졌으면 PC를 켜기가 힘들었을까? 이것은 사실이 아니다. PC 자체에 시건장치를 하여 접근을 막지않는 한 PC를 켜지 못할 이유가 없다. 그런데 PC에 자물쇠를 달고 출퇴근할 때마다 열고 닫는 사무실이 있을까?

다음은 공시생 성적조작 사건이 벌어지고 난 이후에 전달된 어느 기관의 보안강화 조치이다. 

▣ CMOS 비밀번호 설정
    ․PC 및 노트북 CMOS 비밀번호        ․부팅관련 조치사항 설정변경 방지

▣ 부팅디스크 우회 방지
    ․이동식 저장장치 부팅 비활성화     ․로컬디스크로만 부팅 가능하도록 설정

▣ OS 비밀번호 설정 및 변경
    ․OS 로그온 비밀번호                ․영문,숫자,특수문자 포함 9자 이상 설정
    ․3개월마다 변경 조치 (사용자PC수준진단 시스템 활용)
    ․화면보호기 비밀번호 
    ․영문,숫자,특수문자 포함 9자 이상 설정 (사용자PC수준진단 시스템 활용)

▣ 사용자 보안프로그램 점검
    ․네트워크접근제어                  ․매체제어시스템
    ․사용자 PC수준진단 프로그램        ․백신업데이트

소잃고 외양간을 고쳐도 제대로 고쳐야 한다. 공시생 성적조작 사건의 본질은 "물리보안"이다. 근본적으로는 출입통제를 제대로 하지 않았기 때문에 발생한 문제다. 위의 보안강화조치에 출입통제에 대한 사항이 언급조차 안되어 있는 것은 외양간을 제대로 고치지 않겠다는 말이다.

"CMOS 비밀번호만 설정되어 있었어도 윈도우로 부팅하지 못했을 것"이라고? 간단하게 풀 수 있는 문제다. 컴퓨터의 뚜껑을 열고 주기판(메인보드)에서 수은전지를 찾아서 뺴버리면 된다. 5분 쯤 후에 다시 넣고 켜면 CMOS는 초기화되어버린다. 윈도우 비밀번호 초기화 도구(예: chntpw)가 포함된 리눅스 배포판을 부팅 USB로 만들어서 가지고 있으면 윈도우 비밀번호도 없애는 것이 간단하다.

따라서 위 기관의 보안조치 강화 방법에는 "출입통제 철저", "PC 시건장치 마련" 등과 같은 물리보안 강화조치가 먼저 언급되었어야 한다. 원래 조치사항을 제대로 적용해봐도 침입자가 물리적으로 접근할 수 있으면 PC를 켤 수 있고 윈도우 운영체제의 비밀번호도 초기화할 수 있다.

물리적 보안이 실패하면 - 현실적으로 - 정보보안이 막을 수 있는 것은 없다.

공시생 성적조작 사건이 주는 교훈이다.

덧붙임: 포이즌탭

새미 캄카(Samy Kamkar)라는 화이트햇 해커가 5달러짜리 라스베리 파이 제로(Raspberry Pi Zero)로 만든 포이즌탭(PoisonTap)이라는 장비를 선보였다.

이 장비를 윈도우나 맥 장비에 USB로 연결하면 장비가 자동으로 인식되고 모든 HTTP 통신을 공격자가 감청하거나 조작할 수 있다고 한다. 강제로 부팅할 필요도 없고 윈도우나 맥에 로그인할 필요도 없다.

그저 USB 포트에 포이즌탭을 - 피해자 눈에 잘 안보이게 - 대상 PC에 슬쩍 꽂으면 공격 끝!!!

이 사례는 공격자가 피해자의 PC에 직접 접근만할 수 있으면 된다. 역시나 물리보안이 무너지면 정보보안은 지킬 수 없다는 또다른 사례이다.

덧붙임: 중앙집중형 가상화

이러한 물리보안의 문제를 일부 회피할 수 있는 방법이 중앙집중형 가상화이다. 업무 관련 문서는 전산실에 위치한 가상화된 장비에서 취급함으로써 - 물리적으로는 - 사용자의 PC와 단절시키는 방식이다. 사용자 PC는 단말기로서만 사용하기 때문에 물리적으로 장악된다 하더라도 업무 내용은 다른 곳에 위치하기 때문에 물리적인 침투에도 보다 안전한 방식이라고 할 수 있다. - 하지만, 다수의 사용자가 네트워크로 동시에 접속해야 할 때 발생하는 업무효율성 저하와 가상화 서버에 침해사고가 발생했을 때를 대비한 보안 문제 등을 해결해야 하므로 매우 큰 비용문제가 발생한다.

[처음 작성한 날: 2016.11.17]    [마지막으로 고친 날: 2016.11.25] 

< 이전 글 : X-Frame-Options헤더 시험 페이지 (2016.11.18)

> 다음 글 : ID/PW 평문전송, 정말 그렇게 큰 취약점인가? (2016.11.16)

크리에이티브 커먼즈 라이선스 이 저작물은 크리에이티브 커먼즈 저작자표시 4.0 국제 라이선스에 따라 이용할 수 있습니다.
잘못된 내용, 오탈자 및 기타 문의사항은 j1n5uk{at}daum.net으로 연락주시기 바랍니다.
문서의 시작으로 컴퓨터 깨알지식 웹핵 누리집 대문