SK텔레콤 보안 침해등 폐쇄망 공격에 대한 유형 및 고찰

최근 폐쇄망에 대한 공격이 발생 해 공격유형 및 사례와 대응방안을 정리해보았습니다.
사실 폐쇄망이라 하면, 공격이 불가능할 것이라 생각하지만 정부기관이나 은행등 중요자원들은 대부분 폐쇄망으로 이루어졌음에도 실제사례를 찾아보면 공격을 받은 경우가 제법 많습니다. 최근 SK텔레콤의 USIM 등 가입자 정보에 대한 해킹도 그와 같은 경우이며, 그렇기 때문에 국내의 공공기관등 자원들에 대해서도 다시한번 폐쇄망에 대한 중요성을 인식하고 모의해킹 및 현 자원에 대한 점검이 필요할 것입니다.

1. 물리적 접근 기반 공격

(1) USB, 외장하드 등 이동식 저장매체

• 공격 방식 : 감염된 USB를 폐쇄망 시스템에 꽂음으로써 악성코드가 자동 실행.
• 실제 사례 : 2010년 이란 원자력 발전소를 공격한 Stuxnet 웜은 USB를 통해 폐쇄망에 침투.
• 대응 방안
  • 이동식 매체 사용을 원칙적으로 금지합니다.
  • 불가피하게 사용할 경우, 전용 백신 게이트웨이를 통해 자동 검사 후 반입합니다.
  • USB 포트를 물리적으로 차단하거나 보안 USB만 허용합니다.

(2) 악성 하드웨어 삽입

• 공격 방식 : 공격자가 프린터, 키보드, 공유기 등에 악성 칩이나 장치를 심어 폐쇄망 내부에 반입
• 실제 사례 : 2019년 중국이 슈퍼마이크로 서버 보드에 스파이 칩을 심었다는 의혹(Bloomberg 보도)
• 대응 방안
  • 신규 장비 반입 시 공급망 검증을 철저히 합니다.
  • 하드웨어 무결성 검사 절차를 마련합니다.
  • 불필요한 외부 장치 연결을 금지합니다.

---

2. 내부자 기반 공격

(1) 사회공학적 공격 (APT :  Advanced Persistent Threat)

• 공격 방식 : 공격자가 직원에게 악성 파일을 전달하거나, “긴급 보안 업데이트”라고 속여 실행을 유도
• 실제 사례 : 2010년대 중반, 북한 해킹 조직이 한국 공공기관 및 은행직원을 대상으로 스피어피싱 이메일을 보내, 내부망에 침투한 바 있음.
• 대응 방안
  • 정기적인 보안 인식 교육을 시행합니다.
  • 이메일 첨부파일 자동 차단 및 샌드박스 분석을 적용합니다.
  • 의심 문서는 보안부서 승인 후만 실행 가능하게 합니다.

(2) 내부자 협력

• 공격 방식 : 내부 직원이 금전적 이익, 협박, 불만 등을 이유로 직접 악성코드를 설치하거나 자료를 빼돌림
• 실제 사례 : 2018년 미국 GE 엔지니어가 중국 기업과 결탁하여 내부 기술자료를 유출한 사건
• 대응 방안
  • 중요 자료 접근권한을 최소화합니다.
  • 내부자 행위를 로그로 남기고 이상 행위 탐지 시스템을 도입합니다.
  • 내부자 보안 위협 모니터링(UEBA: User & Entity Behavior Analytics)을 활용합니다.

3. 간접·비전통적 공격

(1) 전자파, 음파, 전력선 등 활용

• 공격 방식 : 에어갭 환경에서도 컴퓨터의 전자파, 스피커 음파, 전력선 변조를 통해 데이터를 외부로 유출
• 실제 사례
  • AirHopper: 모니터 케이블 전자파를 FM 주파수로 변조하여 스마트폰으로 탈취(이스라엘 연구팀).
  • PowerHammer: PC 전력소모 패턴을 조작해 전력선으로 데이터 송출.
  • Ultrasonic covert channel: 스피커-마이크 간 초음파 통신으로 비밀 전송.
• 대응 방안
  • 중요 구역에는 전자파 차단 시설(파라데이 케이지)을 적용합니다.
  • 오디오 장치, 무선 장치 사용을 제한합니다.
  • 전력선 노이즈 모니터링으로 이상 신호를 감시합니다.

(2) 공급망 공격

• 공격 방식 : 폐쇄망에 들어오기 전 단계에서 이미 하드웨어나 소프트웨어에 악성코드를 심어둠.
• 실제 사례 : 2020년 SolarWinds 공급망 공격에서 해커는 업데이트 과정에 악성코드를 심어, 수많은 정부기관과 기업에 침투
• 대응 방안
  • 공급업체 보안 평가 및 정기적 검증을 실시합니다.
  • 소프트웨어 업데이트 시 디지털 서명 검증을 반드시 거칩니다.
  • 샌드박스에서 검증 후 폐쇄망에 반입합니다.

4. 운영·관리 취약점 기반 공격

(1) 보안 패치 및 업데이트 경로

• 공격 방식 : 관리자가 외부망에서 다운로드한 보안 패치 파일에 악성코드가 포함된 경우, 폐쇄망으로 옮길 때 감염
• 실제 사례 : 북한이 한국 기업의 보안 업데이트 서버를 해킹하여 악성코드를 배포한 사례가 보고된 바 있음.
• 대응 방안
  • 업데이트 파일을 이중 검증(백신 + 무결성 체크) 후 반입합니다.
  • 관리자의 외부 인터넷 사용 단말과 폐쇄망 단말을 엄격히 분리합니다.

(2) 망연계 장비 취약점

• 공격 방식 : 자료 전송 장치나 프린터, 스캐너 등 망연계 시스템의 취약점을 악용
• 실제 사례 : 일부 국내 기관에서 망연계 장비의 보안 취약점이 악용되어 내부망 접근이 가능했던 사례가 있음.
• 대응 방안
  • 망연계 장비 보안 패치를 정기적으로 적용합니다.
  • 화이트리스트 기반 전송만 허용합니다.
  • 출력물, 이동자료에 대한 보안 스탬프 및 로그 관리 제도를 강화합니다.

---

결론

사실 올해 SK텔레콤에서 발생한 사건은 조직내에서 계속 점검과 대책 중일 것이고, 또한 조심스러운 예측이지만, 장기적으로 한 4~5년 정도 잠복하지 않았나 생각됩니다. 왜냐하면, 폐쇄망을 뚫기가 그만큼 어렵기 때문입니다.

폐쇄망을 뚫기 위해 1차 내부망, 2차로 내부망과 연결된 취약점을 찾아 폐쇄망으로 즉, 밖에서 안으로 직접 접근 하는 방법도 있겠지만, SK텔레콤 같은 경우의 대기업은 매년 모의해킹 뿐만 아니라, 원천적으로 통신망에 대해 접근 경로를 차단했다고 생각된다면, 그런 방법 보다는 내부망에서의 어떤 취약점, 예를들면, 위에서 언급한 보안 게이트에 의한 점검 받지 않은 장비의 물리적접근에 의한 사용(PC, USB)을 통해 악성코드가 삽입되어, 그 악성코드가 내부에서 외부로의 취약점을 찾아 외부망으로 연결하지 않았나 생각해 볼 수 있을 것 같습니다.

또 하나는 보안 패치를 하는데 있어서 오픈소스 같은 것을 사용하여, 그곳에 심어진 악성코드가 유입되었을 수 있고, 아니면,
 외부망과 내부망 간 파일, 메일, 메시지 등을 전송할 때 사용하는 장비등의 통로를 통해 악성코드가 유입되었을 수 있을 것입니다. 
이 악성코드가 다시 외부망으로 연결하기 위해 잠복해 있다가 내부 취약점을 찾고 외부망으로 연결하는데 시간이 필요하고, 
그렇기 때문에 이런 작업은 4~5년 정도의 잠복기간이 필요할 것 입니다.

올해 발생한 SK텔레콤의 사례도 있고, 국내의 중요 공공기관이나 폐쇄망을 운용하는 조직들은 이번 국내사례를 통해서 
폐쇄망은 인터넷과 분리되어 있어 상대적으로 무조건 안전하다고 생각할 것이 아니라,
① 물리적 접근, ② 내부자 협력, ③ 비전통적 유출기술, ④ 운영상 관리 부주의
등의 다양한 경로를 통해 충분히 공격당할 수 있다고 인식의 전환이 필요할 것입니다.

따라서 “기술적 방어 + 내부자 통제 + 물리적 보안 + 공급망 검증”을 함께 적용해야 실질적인 방어가 가능할 것입니다.