Manager Kim Mi-hui of Security Analysis Team of IGLOO SECURITY

▲ Manager Kim Mi-hui of Security Analysis Team of IGLOO SECURITY

[Computerworld] “It was confirmed that your personal data has been leaked. The personal data that was leaked is as follows.” Late July, a huge security incident occurred in which personal information of 10.3 million members, which is 20% of the whole population, has been leaked from the internet shopping mall Interpark. The members of Interpark, thinking “Could it actually have happened?”, had to accept the fact that significant amount of personal information, such as telephone numbers and e-mail addresses, was leaked after checking Interpark’s messages.

▲ Attack Scenario of Interpark Customer Data Leakage Incident Source: Security Analysis Team of IGLOO SECURITY

According to the investigative results announced by ‘Private & Governmental Joint Investigation Group’ in late August, the attacker, who seemed to be from North Korea, penetrated into the company’s internal DB by sending a malicious e-mail to the employees of Interpark using Spear-Phishing. The attacker was hiding until he found the desired information, and finally showed up with the stolen personal information to attempt a financial dealing by asking for bitcoins worth KRW 3 billion to the Interpark.

On July 11, Interpark finally perceived the hacking 2 months after the initial attack when the attacker had asked for money. On July 13, Interpark filed a lawsuit to the police, and on July 25, they finally disclosed the fact that personal information had been leaked. Some users whose personal information had been leaked due to this incident filed a claim for compensation to the Seoul Central District Court based on insufficient measures to protect personal information and trying to evade responsibility by the Interpark.

What exactly was the problem for this incident? What is the reason security incident endlessly occur despite the investment and efforts by companies? Through the common problems of 3.20 cyberattack, KHNP hacking, and recently occurred Interpark personal information leakage incident, I would like to point out the fundamental problems, and try to find solutions.

Large Security Incident, What is the Problem?

There is a saying, “Nothing will come of nothing”. When there is a result, there is definitely a reason. Thus, there is a need to look at the cause so success will repeat and failure will not occur again. There is one common keyword that can be drawn from 3.20 cyberattack, KHNP hacking, and recently occurred Interpark personal information leakage incident. It is network partition.

Comparison Analysis of Damage Status and Measures of Cyberattacks, Source: Security Analysis Team of IGLOO SECURITY

If you look at the 3 incidents in the <Graph 1>, you can see that the cause of the incident and responsive measures after the incident are all connected to the network partition. First, you can check that after 3.20 cyberattack, network partition has emerged as one of the measures to fundamentally block leakage of important materials, and that network partition in financial computing has become mandatory.

KHNP incident, which occurred afterwards, is another case that the importance of operating network partition has emerged. Even though the company network, internet, and nuclear power plant control network have been physically separated for operation, internal information was leaked due to one of the employee’s PCs being infected by malicious codes.

Furthermore, the recently occurred Interpark personal information leakage incident also has some kind of relation with the previously mentioned 2 incidents. It was pointed out that insufficient logical network partition was the fundamental cause of the incident. According to the analysis results of Interpark hacking incident announced by the Ministry of Science, ICT and Future Planning (MSIP), and Korea Communications Commission (KCC) on August 31, the attackers were after the fact that Interpark applies logical network partition, in which the corresponding server is virtualized, only when the database administrator (DBA) connects to the DB server containing personal information, and stole the information outside.

Looking back at the series of cyberattack cases, you can check that network partition has been introduced more and more, but security threat that goes around network partition is also advancing day by day. Accordingly, I would like to discuss what network partition is, how security threat against network partition happens, and how to respond to it.

Types and Characteristics of Network Partition

Network partition refers to separating intra-network, which is used for work, and external network connected to the internet, so the intrusion from outside could be blocked and leakage of internal information can be prevented. Network partition is roughly divided into two: One is ‘physical network partition’ using 2 PCs, and another is ‘logical network partition’ using 1 PC, but network is divided through virtualization. Logical network partition is again divided into ‘SBC(Server-based Computing)’ and ‘CBC(Client-based Computing)’ depending on the base of virtualization.

Physical network partition is using one PC to connect to internet for external businesses, and the other for internal work without connecting to the internet, which has advantage of excellent security and safety. However, extra cost occurs due to constructing a separate network and the additional equipment such as PCs, and there is a concern that information can be leaked or be infected with malicious codes through secondary storage devices out of convenience or malicious intent.

Logical network partition dividing company network and internet with 1 PC has the advantage of being able to use existing equipment, but harder to manage compared to physical network partition. Server-based SBC method is a method to operate virtual PC at the server and the user connect to the PC as a client, so centralized management is possible, but the disadvantage is that since huge network traffic occurs, it takes budget to build server farm, and traffic load can occur. Furthermore, you need to take extra caution in firewall policy setup error or infection with malicious codes through terminal server storage.

Client-based CBC method is applying virtualization technology to the existing PC, so you can only use internet in the virtual region. Its characteristic is that cost could be minimized in building a network and introducing a new system compared to those of other methods. However, the PC environment differs for every user, so it is harder to manage, and when information is transferred between company network and internet, introduction of additional security solution is required.

Network Partition, Never Trust 100%…What are the Major Security Threats That can Occur in the Network Partition Environment?

Many companies think that if they apply network partition, they could be safe from security threats. If you introduce network partition, the security level of the companies does indeed get higher, but it does not mean that it is safe from all security threats. Various vulnerabilities could occur in the technological sector in building the environment as well as management and operation aspect where insiders are involved.

The security threat that can occur in the network partition environment can be roughly divided into 4 categories. First, the point of contact which inevitably occur due to the movement of data between company network and internet is abused as the path of attack.

For example, when security check was performed in the SBC-based network partition environment where the user can use the work environment through the virtualization server from the user’s local environment including the internet, a vulnerability has been found that work data in the virtual environment, which includes personal information, can be transferred to the user’s PC, which is connected to the internet, using shared directories or backdoor to go around the file transfer limit.

Second, handling exceptions regarding the data transfer between the networks is another factor that can cause security threat. Even after network separation environment has been built, due to the policy and work issues, the cases where exception handling is needed occur frequently. In this case, if the clear guidelines for transferring data in consideration of security level of data, and user authority have not been prepared, it might be possible that indiscriminate data transfer may occur. The main example of this is when the outsourced manpower transferred the data composed in the intra-network to the internet without any restrictions.

Third, you need to also pay attention to the security issues on hypervisor, in which multiple OS are executed and managed simultaneously by the host computer. When building server-based virtualization environment based on hypervisor, security vulnerabilities that could approach the memory in the virtual environment is the major example. For example, when resource and memory allocation for the virtual environment is handled using ‘Xenpwn’, which is hardware-based Xen hypervisor, it has been revealed that from the Xen hypervisor management domain, you can approach all the memories in the virtual environment.

Lastly, you must also pay attention to the unexpected security threat that can neutralize the network partition environment. The major cases are, using speaker microphone to leak files existing in the closed network by going around network partition, or using the EMR, which is emitted from network partitioned PC and devices, for the memory bus of the PC to transmit data through the smartphone using the frequency of the smartphone.

Safe Network Partition, How can We Achieve It?

Network partition can be counted as responsive measures to lower probability of attack to the important information of the companies by improving the security of internal networks, but you can see that it is not an absolute answer to block all cyberattacks. Since network partition does not guarantee perfect security, what efforts do you need to make to strengthen the security of network partition environment?

First of all, sending and receiving data between company network and internet should be efficiently controlled. The companies should manage the log occurring when data are sent and received between the networks, and must thoroughly inspect whether the data are transferred from company network to outside according to appropriate approval procedure.

Furthermore, since movable storage media is frequently used for the convenience of the work, media control or data leak prevention solutions should be additionally introduced to restrict the actions that violate network partition security operation guidelines. In addition, when transferring data that require high level security to outside, it is desirable to minimize file transfers by making them receive approval from security officer or higher responsible officer.

In particular, PMS (Patch Management System), which manages the security updates of major infrastructures in a batch from the center, remains as a possibility to be abused as the path of the attack, so it is recommended that PMS be installed and operated for each network. In reality, when e-mails on the internet is moved to company network through the data transfer system between the networks, the malicious codes attached to the e-mails are frequently introduced to the company networks.

In addition, continuous monitoring on permitted exception handling actions is also essentially required. The companies need to regularly inspect whether appropriate exception handling is being performed in accordance with the importance of the information included in the data, or authority of the insider. For example, when a certain user requests ‘writing authority’, the rank of the user concerned and relevance to the work must be considered, and only allow usage within the limited time. Also, after exception handling period is over, you must check if ‘writing authority’ is being used, so exception handling subject should be minimized when managing.

Furthermore, since various technology to go around network partition is actively being researched, it is necessary to prepare measures to minimize the damage from the attack by introducing security solution and executing recent security patch, which are compatible with network partition environment.

Continuous Network Partition Management, Introduction of Additional Security Solution is Necessary

We have examined security issues in the network partition environment, which is the recent topic. While cyber terrorism has become even more intelligent and massive scale security incident is occurring successively, many corporations and organizations are trying to introduce network partition, in which internet and company network is separated. In the financial sector, which needs to build network partition environment mandatorily in accordance with ‘Financial Computer Network Partition Guidelines’ by
Financial Supervisory Commission (FSC), it is especially fast in introducing network partition, and SCADA, which is operated under closed network, is also considered as a field where it is very effective to introduce network partition.

However, if you want to increase the effect of introducing network partition, you must be aware in advance that network partition is not a cure-all to solve all the security problems. Even if internet and internal network is separated, the work must be done by moving back and forth between the two networks, so there is always a possibility that a hole could occur in those points of contact. In other words, unlike the original intention to block intrusion from outside and prevent information leakage from inside, it could be abused as a path of attack.

To complement these vulnerabilities, you must move forward one more step from building a network partition environment to back up with complement measures to effectively control data transfers between the networks, and observe and analyze in real time the security threats that can go around network partition environment. Finally, it is my strong wish that you do away with the lackadaisical thought that network partition would block all the security threats, and raise the security of network partition environment by establishing a clear data transmit policy and introducing additional solutions.

 

 

 

[기고] 인터파크 개인정보 유출사고로 살펴본 망분리 관리의 중요성

▲ 김미희 이글루시큐리티 보안분석팀 과장

[컴퓨터월드] “회원님의 개인정보는 유출된 것으로 확인되었습니다. 유출된 개인정보는 다음과 같습니다.” 지난 7월 말 인터넷 쇼핑몰 인터파크에서 우리나라 전체 인구의 무려 20%에 해당되는 1,030만 명의 가입자 정보가 유출된 대형 보안 사고가 발생했다. 인터파크 사이트를 찾은 가입자 대다수는 설마 하면서도 위와 같이 달갑지 않은 인터파크의 메시지를 확인하고 이름, 전화번호, 이메일 주소 등 상당수의 개인정보가 유출된 사실을 받아들여야 했다.

▲ 인터파크 고객정보 유출사고 공격 시나리오, 출처: 이글루시큐리티 보안분석팀

‘민·관 합동조사단’이 8월 말 발표한 조사 결과에 따르면, 북한 소행으로 판단되는 공격자는 지난 5월 인터파크 직원에게 악성 이메일을 보내는 스피어피싱을 통해 회사 내부 데이터베이스에 침투했다. 공격자는 원하는 정보를 찾을 때까지 몸을 숨기고 있다가, 탈취한 개인정보를 빌미로 인터파크에게 30억 원 상당의 비트코인 지불을 요구하는 금전 거래를 시도하며 그 모습을 드러냈다.

7월 11일, 공격자의 금전 요구를 통해 최초 공격 이후 두 달이 지나서야 비로소 해킹 사실을 인지하게 된 인터파크는 7월 13일 경찰에 고소장을 접수하고, 7월 25일이 돼서야 개인정보가 유출된 사실을 공개했다. 이번 사고로 개인정보가 유출된 사용자 일부는 인터파크의 미흡한 정보보호 조치 및 책임 회피 시도를 근거로 서울중앙지방법원에 손해배상 청구소송을 제기한 상태다.

이번 사고는 무엇이 문제였을까? 기업의 투자와 노력에도 보안 사고가 끊이지 않고 발생하는 이유는 무엇일까? 3.20 사이버 테러, 한수원 해킹, 그리고 최근 일어난 인터파크 개인정보 유출사고에서 도출되는 공통점을 통해 근본적인 문제점을 짚어보고, 그 해결책을 강구해 보고자 한다.

대형 보안 사고, 무엇이 문제인가?

“이유 없는 결과는 없다”는 얘기가 있다. 어떤 결과가 발생한 이면에는 분명 그럴만한 이유가 있으므로, 성공은 계속되고 실패는 다시 발생하지 않게 그 원인을 되짚어 볼 필요가 있다는 의미다. 3.20 사이버 테러, 한수원 해킹, 그리고 최근 일어난 인터파크 개인정보 유출사고에서도 공통적으로 도출되는 하나의 키워드가 있다. 바로 망분리이다.

▲ <표 1> 사이버 공격 피해현황 조치사항 비교 분석, 출처: 이글루시큐리티 보안분석팀

<표 1>에 나타난 세 건의 사고를 살펴보면, 사고 원인 혹은 사고 후 대응 조치사항이 모두 망분리와 연결돼 있음을 확인할 수 있다. 우선, 3.20 사이버 테러 이후 중요 자료의 유출을 근본적으로 차단하기 위한 방안 중 하나로 망분리가 부각되며 금융전산 망분리가 의무화됐음을 확인할 수 있다. 이어 발생한 한수원 사고는 망분리 운영의 중요성이 부각된 사례 중 하나다. 업무망과 인터넷망, 원전제어망을 물리적으로 분리해 운영하고 있었음에도, 직원의 PC가 악성코드에 감염되며 내부 자료가 유출되었기 때문이다.

그리고 최근 발생한 인터파크 개인정보 유출 사고 역시 앞서 거론한 두 사고와 연관성을 가지고 있다. 허술한 논리적 망분리가 근본적인 사고 원인으로 지목됐기 때문이다. 미래창조과학부와 방송통신위원회가 지난 8월 31일 발표한 인터파크 해킹사건 분석 결과에 따르면, 공격자들은 인터파크 데이터베이스관리자(DBA)가 개인정보가 담긴 DB서버에 접속할 때만 해당 서버를 가상화하는 논리적 망분리를 적용하고 있다는 점을 노려 정보를 외부로 빼낸 것으로 드러났다.

이와 같은 일련의 사이버 공격 사례들을 돌아볼 때, 망분리 도입은 점점 확대되고 있으나 망분리를 우회하는 보안 위협도 날로 고도화되고 있음을 확인할 수 있다. 이에 망분리가 무엇인지, 망분리를 노린 보안 위협은 어떻게 일어나며 그에 어떻게 대응해야 할지 논의해보고자 한다.

망분리의 종류와 특징

망분리란 업무용으로 사용하는 내부 네트워크망과 인터넷에 연결된 외부 네트워크망을 분리함으로써, 외부로부터 침입과 내부 정보의 유출을 막는 행위를 말한다. 망분리는 크게 2대의 PC를 사용하는 ‘물리적 망분리’와 1대의 PC를 활용하되 가상화를 통해 네트워크를 구분하는 ‘논리적 망분리’로 구분될 수 있다. 논리적 망분리는 다시 가상화 기반에 따라 서버 기반의 ‘SBC(Server Based Computing)’와 클라이언트 기반의 ‘CBC(Client Based Computing)’로 나뉘게 된다.

물리적 망분리는 하나의 PC는 인터넷에 연결해 외부 업무용으로, 다른 하나는 인터넷에 연결하지 않고 내부 업무용으로 사용하는 형태로 보안성과 안전성이 우수하다는 장점이 있다. 그러나 별도의 네트워크 구축 및 PC 등의 추가 장비 비용이 소요되고, 업무 편의상 혹은 악의적인 의도로 보조저장매체를 통해 정보가 유출되거나 악성코드가 감염될 우려가 있다.

1대의 PC로 업무망과 인터넷망을 나누는 논리적 망분리는 기존 자원을 활용할 수 있다는 장점이 있으나 물리적 망분리에 비해 관리가 까다로운 편이다. 서버 기반의 SBC 방식은 서버에서 가상 PC를 구동하고 사용자가 클라이언트로 접속해 사용하는 방식으로 중앙 집중화된 관리가 가능하나, 대량의 네트워크 트래픽이 발생하는 만큼 서버팜 구축에 예산이 소요되고 이에 대한 트래픽 부하가 발생할 수 있다는 단점도 존재한다. 또한, 방화벽 정책 설정 오류나 터미널 서버 스토리지를 통한 악성코드 감염도 반드시 주의해야할 부분이다.

클라이언트 기반의 CBC 방식은 기존 PC에 가상화 기술을 적용해 가상영역에서만 인터넷을 사용할 수 있게 하는 것으로 타 방식에 비해 네트워크 구축 및 신규 시스템 도입 비용을 최소화할 수 있는 것이 특징이다. 그러나 사용자마다 PC 환경이 다른 만큼 관리가 어렵고, 업무망과 인터넷망 간의 자료 이동 시 추가적인 보안 솔루션 도입이 요구되는 측면이 있다.

망분리, 100% 맹신은 금물…망분리 환경에서 발생할 수 있는 주요 보안 위협은?

많은 기업들이 망분리를 적용하면 보안위협으로부터 안전해질 수 있다고 생각한다. 실제로 망분리 도입 시 기업의 보안 수준은 전반적으로 높아지게 되나, 이것이 모든 보안 위협으로부터 안전하다는 것을 의미하지는 않는다. 환경을 구축하는 기술적인 부분은 물론 내부자가 관여하는 관리 운영 측면에서도 공격자가 파고들 수 있는 다양한 취약점이 발생할 수 있기 때문이다.

망분리 환경에서 발생할 수 있는 보안 위협은 크게 4가지로 분류될 수 있다. 첫째, 업무망과 인터넷망 간의 데이터 이동을 위해 불가피하게 발생하는 접점이 공격의 경로로 악용되는 형태다. 예로 인터넷 망이 포함된 사용자 로컬 환경에서 가상화 서버로 접근해 업무 환경을 이용할 수 있는 SBC 기반 망분리 환경에서 보안 점검을 진행한 경우, 공유폴더나 백도어를 이용해 파일 전송 제한을 우회하는 방식으로 개인정보가 포함된 가상화 환경의 업무 자료를 인터넷망이 연결된 사용자 PC로 옮길 수 있는 취약점이 발견됐다.

둘째, 망간 자료 전송에 대한 예외 처리 역시 보안 위협을 야기할 수 있는 요소다. 망분리 환경이 구축된 후에도 정책 업무적인 문제로 예외 처리가 필요한 경우가 빈번히 발생한다. 이 때, 자료의 보안 등급, 사용자의 권한을 고려한 명확한 데이터 반출 지침이 마련되지 않았다면 자칫 무분별한 자료 전송이 이뤄질 가능성이 있다. 외주 인력이 내부망에서 작성한 자료를 아무 제한 없이 인터넷망으로 옮긴 사례가 대표적이다.

셋째, 호스트 컴퓨터에서 다수의 OS를 동시에 실행 및 관리하는 하이퍼바이저에 대한 보안 이슈도 주목해야 한다. 하이퍼바이저 기반의 서버 가상화 환경 구축 시, 가상 환경의 메모리에 접근할 수 있는 보안 취약점이 발견된 것이 대표적이다. 예로 하드웨어 기반의 젠 하이퍼바이저인 ‘Xenpwn’을 이용해 가상환경에 대한 자원 및 메모리 할당을 처리하는 경우, 젠 하이퍼바이저의 관리 도메인에서 모든 가상환경의 메모리에 접근할 수 있는 것으로 드러났다.

마지막으로, 망분리 환경을 무력화시키는 예측 불가능한 보안 위협에도 주의를 기울여야 한다. 스피커 마이크로 망분리를 우회해 폐쇄망에 존재하는 파일을 유출하거나, 망분리된 PC와 기기에서 나오는 전자기파(EMR)를 이용해 PC의 메모리버스가 핸드폰 주파수를 통해 핸드폰으로 데이터를 전송하게 만든 시연 사례가 대표적이다.

안전한 망분리, 어떻게 할까?

망분리는 내부망의 보안성을 향상시켜 기업의 주요 정보자산이 공격받을 확률을 낮추는 대응 방안으로 꼽힐 수는 있지만, 모든 사이버 공격을 막아낼 수 있는 절대적인 해답은 아님을 확인할 수 있다. 망분리가 완벽한 보안을 담보하는 것은 아닌 만큼, 망분리 환경의 보안성을 강화하기 위해서는 어떠한 노력을 기울여야 할까?

우선 업무망과 인터넷망 간 데이터 반·출입을 효율적으로 통제할 수 있어야 한다. 기업은 망간 자료 송·수신 시 발생하는 로그를 관리하고, 적합한 승인 절차에 따라 업무망에서 외부로 자료가 반출되고 있는지 여부를 꼼꼼히 점검해야 한다.

또한, 업무 편의성을 위해 이동형 저장매체를 사용하는 경우도 빈번히 발생하는 만큼, 매체제어 또는 자료유출방지 솔루션을 추가적으로 도입해 망분리 보안운용 지침 위반 행위를 제한할 필요가 있다. 더불어, 높은 수준의 보안성이 요구되는 자료 반출 시에는 반드시 보안담당자 혹은 상위 책임자의 승인을 받도록 해 파일 이동을 최소화하는 것이 바람직하다.

특히, 주요 인프라의 보안 업데이트를 중앙에서 일괄적으로 관리하는 패치관리시스템(PMS)이 공격의 통로로 악용될 가능성이 남아있는 만큼, 반드시 각 망별로 PMS를 설치 및 운영하는 것을 권고한다. 실제로 망간 자료전송 시스템을 통해 인터넷망의 이메일을 업무망으로 이동할 시, 이메일에 첨부된 악성코드가 업무망으로 유입되는 사례가 빈번히 발생되고 있다.

더불어 허용된 예외 처리 행위에 대한 지속적인 모니터링도 필수적으로 요구된다. 기업은 자료에 포함된 정보의 중요성 또는 내부자의 권한에 따라 적합한 예외 처리가 이뤄지고 있는지 수시로 점검할 필요가 있다. 예를 들어 특정 사용자가 ‘쓰기 권한’을 요구하는 경우, 해당 사용자의 지위 및 업무 연관성을 따져 제한된 시간 내에만 사용할 수 있도록 허용하고, 예외 처리 기간이 종료된 후에는 혹시나 ‘쓰기 권한’을 사용하고 있지는 않은지 점검하는 등 예외처리 대상을 최소화해 관리해야 한다.

또한, 망분리를 우회하는 다양한 기술들이 활발히 연구되고 있는 만큼, 망분리 환경과 호환될 수 있는 보안 솔루션 도입 및 최신 보안 패치 실행을 통해 침해사고 피해를 최소화할 수 있는 대비책을 마련해 둘 필요가 있다.

지속적인 망분리 관리, 추가적인 보안 솔루션 도입 필요

지금까지 최근 화두가 되고 있는 망분리 구축 환경에서의 보안 이슈를 살펴봤다. 사이버 테러가 한층 지능화되고 대규모 보안 사고가 잇달아 발생하는 가운데, 많은 기업·기관들이 인터넷망과 업무망을 분리하는 망분리 도입을 앞당기고 있다. 금융위원회의 ‘금융전산 망분리 가이드라인’에 따라 의무적으로 망분리 환경을 구축해야 하는 금융권의 경우 특히 도입이 빠르게 확산되고 있으며, 폐쇄망으로 운영되는 산업제어시스템(SCADA) 역시 망분리 도입 효과가 높은 분야로 손꼽히고 있다.

그러나 망분리 도입 효과를 높이기 위해서는 망분리가 모든 보안 문제를 해결해줄 수 있는 만병통치약이 아니라는 사실을 반드시 인지할 필요가 있다. 인터넷망과 내부망을 분리했다 할지라도 이를 오가며 업무를 처리할 수밖에 없는 만큼, 이 같은 접점에서 구멍이 생길 가능성이 남아있기 때문이다. 즉, 외부로부터 들어오는 침입을 막고 내부에서 나가는 정보 유출을 막고자했던 본래 취지와 다르게 공격의 통로로 악용될 여지가 있다는 얘기다.

이 같은 허점을 보완하기 위해서는 망분리 환경 구축에서 더 나아가 망간 데이터 이동을 효과적으로 제어 관리하고, 망분리 환경을 우회하는 보안 위협을 실시간으로 관찰 및 분석할 수 있는 보완책이 반드시 뒷받침돼야 한다. 망분리가 모든 보안 위협을 막아줄 것이라는 안일한 생각에서 벗어나, 명확한 자료 반출 정책 수립 및 추가적인 솔루션 도입을 통해 망분리 환경의 보안성을 보다 높였으면 하는 바람이다.

저작권자 © 컴퓨터월드 무단전재 및 재배포 금지