2021년 말 월패드 해킹 기사를 접한 많은 홈네트워크(이하 홈넷) 회사는 해킹 대응에 적극적으로 나서고 있습니다.

하지만, 홈넷 보안은 여러 다른 아파트 운영 시스템과 연동되어 있으므로 홈넷 회사만의 문제가 아닌 구조를 갖고 있습니다.

예를 들어, 주차관리 시스템, 냉난방 시스템, CCTV 관제 시스템, 인터넷 망 등 다양한 시스템이 홈넷에 연결되어 있는 구조입니다.

실제로 해당 시스템을 통하여 해킹되었던 다수의 사례가 있습니다.

어떻게 홈넷 시스템을 안전하게 관리할 수 있을까요?

 

◆ 대응 방법

월패드는 홈넷의 최종 공격 목적지입니다.

최근 월패드는 주로 안드로이드 기반에서 동작하므로 안드로이드 계열 스마트폰의 공격과 유사하다고 볼 수도 있지만, 현실은 그렇지 않습니다.

월패드에 외부 접속 차단 및 앱 설치하는 기능을 제어하는 것만으로도 훌륭하게 보안을 강화할 수 있습니다.

홈넷에는 월패드 외에도 월패드를 관리하기 위해 각 아파트 단지에 설치하는 서버로 일명 단지서버, 그리고 사용자가 월패드에 접속하기 위해 인증을 담당하는 월패드 제조사의 인증서버가 있습니다.

단지서버와 인증서버의 운영체제는 리눅스 또는 윈도우 서버를 사용하며 애플리케이션은 웹 시스템입니다.

홈넷에서 월패드로 가기 전에 반드시 인증서버와 단지서버를 거쳐야 합니다. 어떠한 공격 방법을 고안하더라도 이 2가지 서버를 거치지 않고 월패드 접근은 불가능합니다.

 

1단계 대응:
인증서버와 단지서버는 웹 서버이므로 웹방화벽 대응이 반드시 필요합니다.

 

2단계 대응:
인증서버의 경우, 크리덴셜 스터핑과 SQL인젝션 공격에 세밀하게 대응하기 위하여 통합보안이벤트관리시스템(SIEM)과 연동하여 전체 접속 데이터 분석 대응이 필요합니다.

크리덴셜 스터핑은 “한 사이트에서 확보한 계정을 분석해 또 다른 사이트의 정보를 알아내는 방법”으로 아카마이 발표 자료에 의하면, 2020년 금융권 공격의 82%를 차지할 정도로 해커가 가장 좋아하는 공격 기법입니다. 웹 인증 방식의 약한 부분을 이용하는 이 방법을 웹방화벽에서는 차단할 수 없다. 이를 해결하기 위하여는 웹에 접속하는 전체 데이터를 통합보안이벤트관리시스템에 저장하여 통계적인 방법을 사용하여 일반 사용자와 해커를 구분하여 통합보안이벤트관리시스템이 웹방화벽과 연동하여 자동 차단하는 것이 가장 효과적인 방법입니다.

단지서버의 경우는, 웹쉘 공격으로 단지서버를 장악하여 월패드로 접근할 수 있으므로, 엔드포인트보안(EDR)으로 2차 대응이 필요합니다.

 

3단계 대응:
1, 2 단계 대응으로 완벽에 가깝게 대응할 수 있지만 추가적으로 어떤 것을 더 살펴볼 수 있을까?

안드로이드 기반의 월패드를 보호하기 위하여 하드웨어 보안 칩(HSM)을 사용하는 것은 필요할까요? 기본적으로 모든 IoT 제품은 하드웨어보안칩이 필요합니다. 이런 관점에서 본다면 네트워크에 연결되는 월패드에도 필요합니다.

세대간 보안을 위하여 망분리 시스템은 어떨까요? 망분리 시스템의 개념은 한 세대에서 다른 세대로 직접 연결된다는 가정에서 출발하여 이와 같은 접속을 차단하기 위해서입니다.

앞선 하드웨어 보안 칩 설치나 망분리 시스템의 경우, 월패드를 포함하여 홈넷을 관리할 수 없다면 반드시 필요할 수도 있을 것입니다. 하지만 월패드의 접근을 단지서버로 한정하여 외부에서 접속을 차단하고 앱을 설치할 수 없도록 관리한다면 필요하지 않습니다.

 

정보보안관리체계에서는 전통적으로 많은 제품을 설치 운영하는 방식인 다중 경계망이라는 다다익선을 추구하고 있습니다. 하지만 이제는 다시 살펴보아야 합니다. 다다익선도 그 근본에는 기우(杞憂)가 존재합니다.

 

홈넷 해킹 관련 기사

1) https://www.etnews.com/20211203000181

2) https://www.seoul.co.kr/news/newsView.php?id=20211125500007

3) https://www.boannews.com/media/view.asp?idx=96702

◆ 내부 블로그

1) 크리덴셜 스터핑, http://blog.plura.io/?p=13094

2) 크리덴셜 스터핑 대응하기, http://blog.plura.io/?p=11797

3) 크리덴셜 스터핑 Case Study, http://blog.plura.io/?p=17898

4) APT공격 마이터의 이해, http://blog.plura.io/?p=13055

[보안컬럼] 기사

1) 홈네트워크 보안 강화 방안, http://blog.plura.io/?page_id=126&uid=255&mod=document