VoIP 환경에서의 보안

보안에 대한 관심과 공감대 형성이 중요

VoIP 환경에서 이루어지는 해킹 또는 공격 형태가 데이터 네트워크에서 이루어지는 그것과 다르지 않은 경우가 일반적이기 때문에 완벽한 보안을 위해서는 VoIP에 대한 보안과 더불어 데이터 환경에서의 보안까지 고려해야만 한다. 이번에는 특히 ARP 스푸핑을 이용한 공격형태와 바이러스/웜에 의해 발생되는 유해 트래픽에 의한 네트워크 장애에 대해 살펴보겠다.

우리는 지난 호에서는 VoIP 보안에 대해 살펴보았다. 그 내용을 정리해 보면, H.323의 보안에서 H.235를 이용한 보안 Authentication/AccessControl/Non- Repudiation/Confidentiality/Integrity/Key Management 등에 대해 살펴보았다.

그리고 SIP의 보안에서는 HTTP Digetst, TLS/ IPSec, S/MIME (RFC 2633), sRTP(Secure RTP. RFC 3711), MIKEY(Multimedia Internet KEYing) 등에 대해 알아보았다. 그런데 VoIP 망이라 함은 IP 기반 위에 Voice라는 애플리케이션을 사용하는 것이기 때문에 기본적인 네트워크 인프라(network infrastructure) 보안이 선행되어야 한다.

또한 VoIP 환경에서 이루어지는 해킹 또는 공격 형태 가 데이터 네트워크에서 이루어지는 그것과 다르지 않은 경우가 일반적이기 때문에 완벽한 보안을 위해서는 VoIP에 대한 보안과 더불어 데이터 환경에서의 보안까지 고려해야만 한다. 그렇다면 데이터 환경에서의 공격 형태에는 어떤 것이 있고, 그에 대한 해결 방법이 무엇 인지에 대해 살펴보도록 하자.

지난 호에서 언급했던 내용을 간략히 정리해 보면 외부 공격으로 인한 Call Server, 음성 G/W 및 IP 전 화기의 장애, Relay attack, 분산 서비스 거부 공격 (DDoS) 등에 의한 서비스의 장애, 스푸핑(Spoofing), 도청 및 해킹 등을 통한 사내 혹은 개인 기밀 정보의 침해, 바이러스나 외부 침입에 의한 데이터 손실이나 네트워크 서비스의 장애 초래 등이다. 이러한 내용을 하나 하나 예를 들어 설명하고 그에 대한 해결책을 살펴보면 다음과 같다.

외부 공격으로 인한 Call server, 음성 G/W 및 IP 전화기의 장애

외부 공격이라 함은 DoS, DDoS 등의 공격을 의미하며, 공격 대상(Victim)은 Call Server 또는 Voice G/W가 된다. 이러한 공격이 VoIP 시스템 등으로 가해 질 경우 시스템의 오동작 및 전체 voice망이 마비되는 사태가 발생할 수 있다.

이러한 공격은 기본적으로 방화벽 또는 침입탐지 시스템에서 막아주어야 한다. 일반적인 경우 사설망을 사 용하거나 방화벽/침입탐지 시스템 등을 이용해 외부로 부터의 공격을 막고 있기 때문에 아주 위협적인 공격 은 아니라고 할 수 있다. 하지만 공격대상이 VoIP 시스템이기 때문에 한 번 공격이 발생하고 정상적으로 막지 못한다면 전체 VoIP 네트워크에 영향을 미치기 때문에 전체 장애 규모는 크다고 하겠다.

Relay attack, 분산 서비스 거부 공격(DDoS) 등에 의한 서비스의 장애

이러한 공격형태는 공격자(attacker)가 하나가 아닌 다수인 것이 특징이다. 하나의 공격자에 의해 행해지는 공격의 경우 방화벽/침입탐지 시스템 등에서 구분해 내 기가 수월하다. 출발지와 목적지가 정해져 있는 경우이기 때문에 트래픽의 유형만 보아도 공격인 것을 쉽게 알 수 있고, 또한 방어해낼 수 있게 된다.

하지만 분산 서비스 거부 공격 또는 Relay Attack의 경우 다수의 공격자가 하나의 VoIP 시스템을 공격하는 것이기 때문에 방화벽/침입탐지 시스템에서 공격임을 인지하거나 방어하기가 쉽지 않게 된다. 근래에 DDoS 전용 장비 등이 시장에 자주 선보이는 이유도 그러한 것에 기인한다고 볼 수 있다.

스푸핑(Spoofing), 도청 및 해킹 등을 통한 사내 혹은 개인 기밀 정보의 침해

주로 ARP Spoofing을 이용한 해킹이 여기에 속한다. ARP Spoofing은 아래에서 좀 더 자세히 다루겠지만 이것을 통해 도청, ID/PW 유출 등 개인정보를 유출할 수 있다는 데에서 심각성은 크다고 하겠다.

특히 그것을 막기 위해서는 사용자단부터 보안기능이 포함된 스위치를 사용해야 하기 때문에 투자가 이루어 져야 하는 부분이다. 물론 그것에 따른 피해가 투자비 용 보다 크다면 당연히 투자하는 것이 바람직할 것이다. 해결 방법에 대한 부분도 좀 더 자세히 설명하도록 하겠다.

바이러스나 외부 침입에 의한 데이터 손실이나 네트워크 서비스의 장애 초래

근래에 가장 많이 발생하고 있는 장애 유형 중 하나이다. 특히 네트워크 장비가 노후화 되어 있다면 그 피해 는 막대할 수 있다고 하겠다.

다른 공격들은 해당 부분만 영향을 받는 것이 대부분 이지만 바이러스등에 의해 발생하는 유해 트래픽은 백 본스위치 및 방화벽, 침입탐지 시스템 등 데이터 네트워 크의 근간을 흔들 수 있기 때문에 한번 발생하면 그 피해는 클 수 밖에 없다. 기본적인 데이터 네트워크가 마비될 경우 그에 따른 VoIP 네트워크도 영향을 받을 수 밖에 없게 된다.

그럼 이제 요즘 가장 이슈화되고 있는 공격 형태에 대 해서 좀 더 자세히 알아보자. 크게 ARP 스푸핑을 이용 한 공격형태와 바이러스/웜에 의해 발생되는 유해 트래 픽에 의한 네트워크 장애에 대해 살펴보겠다.

ARP Spoofing 이용한 도청, ID/PW 유출

ARP Spoofing 이란?

■ ARP(Address Resolution Protocol)란?

ARP란 Layer 2 환경에서 서로의 IP 주소만을 아는 장치들이 서로의 mac 주소를 알기 위해 사용하는 프로토콜이다. Layer 2 환경에서는 서로간의 통신을 위해 서로의 mac 주소를 사용하고 스위치는 이 mac 주소를 기반으로 해당 mac을 배운 포트에만 패킷을 전달하게 되고 이것이 예전에 사용되던 허브와 다른 점이라고 할 수 있다.

예를 들어, PC-A와 PC-B가 통신을 하려면 서로의 mac 주소를 알아야 한다. 이때 PC-A가 PC-B의 IP 주소를 이용해 ARP request를 전체 네트워크에 보내 게 되고 PC-B는 자신의 mac 주소를 동봉해 PC-A에 게 ARP reply를 보내게 된다. 이 과정을 거쳐 서로의 mac 주소를 알게 된 이후, 서로간 통신이 이루어지게 된다.

■ ARP Spoofing이란 ?

위에서 살펴본 Layer 2 환경에서의 통신을 보면 보안상의 문제점을 찾을 수 있다. 예를 들어 PC-H가 PC-A에게 10.16.240.20의 mac 주소는 HH-HH- HH이고 PC-B에게는 10.16.240.10의 mac 주소가 HH-HH-HH라고 ARP reply를 통해 알려주게 되면 PC-A와 PC-B의 ARP cache에는 서로의 mac 주소를 HH-HH-HH로 업데이트해 가지고 있게 된다. 이러 한 ARP의 특성을 이용해 mac 주소를 변조하는 것을 ARP Spoofing 또는 ARP Poisoning이라고 한다.

그럼 정상적일 때 각 PC의 ARP cache table을 살펴보자.

위의 표를 보면 PC-A에서는 올바른 PC-B의 mac 주소를 가지고 있는 것을 볼 수 있다. 또한 PC-B 에서도 올바른 PC-A의 mac 주소를 가지고 있다.

그럼 ARP Spoofing을 실시한 후 ARP cache table 을 살펴보자. 아래 표를 보면 PC-B의 mac 주소가 HH-HH-HH 로 바뀌어 있는 것을 볼 수 있다. 마찬가지로 PC-A의 mac 주소도 HH-HH-HH로 바뀌어져 있다. 이렇게 될 경우 PC-A는 PC-B로 보내는 패킷 을 mac 주소 HH-HH-HH로 보내게 되며 실제 HHHH- HH의 주인인 PC-H는 해당 패킷을 중간에서 sniffing 하며 동시에 PC-B 에게 전달해 주게 된다. 이 경우 서로 간에 패스워드 등의 중요한 정보 등이 모두 유출될 수도 있고 더 나아가 IP Phone일 경우엔 모 든 통화 내용이 도청될 수 있다.

이러한 해킹 방법은 새로운 것은 아니며 여러 가지 방법 을 통해 전파되어 왔다. 하지만 그에 따른 해결책이 딱 히 없었고 있다고 하여도 고가의 L3 스위치 또는 UTM 장비 등을 설치해야만 해결할 수 있기 때문에 ARP Spoofing에 대한 해결책이라고 보기엔 부족한 면이 있었다.

근래에는 이러한 해킹방법을 이용해 IDC 또는 서버팜 에 숙주를 심어놓은 후, 해당 서버에 접속하는 PC로 ARP Spoofing 툴을 내려 주어 ID/PW를 빼낸 후 다시 다른 PC로 전파해 나아가는 웜 형태도 보이곤 한다.

이러한 공격 방법이 모두에게 알려지지 않은 또 하나의 이유는 공격당하고 있는 동안 문제를 일으킨 원인을 찾지 않으면 흔적도 없이 여러 가지 정보를 빼앗길 수 있 다는 것이다.

“소 잃고 외양간 고친다”는 속담이 ARP Spoofing 공격에 대해서는 “소 잃고 잃어버렸는지 모른다”는 속담으로 바뀔 수 있을 것이다. 특히 산업 스파이 등이 이러한 공격을 통해 여러 가지 정보를 빼낼 경우 지금까지 보다 더 큰 피해가 발생하리라는 것은 자명한 사실이다.

ARP Spoofing의 피해

■ ARP Spoofing 을 이용한 해킹

패스워드 유출 : Plain text를 사용하는 패스워드(FTP, HTTP, IMAP, LDAP, POP3, Telnet, VNC, SMTP, SNMPv1,2c, SIP) 등
라우팅 정보 : HSRP, EIGRP, OSPF, RIP, VRRP 등 정보 유출
VoIP 통화 : VoIP의 경우 암호화되어 있지 않으면 클 릭 몇 번으로 도청 가능
웹페이지 악성코드 삽입 사례(‘ARP Spoofing 공격 분석 및 대책’ 참조)

■ VoIP 환경에서의 피해

Call server/VoIP 시스템으로 접속하기 위한 ID/ PW 유출 Call 라우팅, 과금 관련 정보 유출 가능
도청을 통한 피싱, 개인 정보 유출 가능

ARP Spoofing 의 대처 방법

그러면 이제 이러한 ARP Spoofing을 방어할 수 있는 방법을 생각해 보자. 가장 쉬운 방법은 ARP cache table에서 mac 주소가 바뀌지 않게 하는 것이다. 하지 만 이것은 그 동안 표준화되어 사용되어 온 TCP/IP 통 신의 근간을 뒤 흔드는 것이기 때문에 그 누구도 쉽게 바꾸어 사용할 수 있는 것은 아니다. 그럼 실제 사용할 수 있는 방법을 살펴보자.

■ Dynamic ARP Inspection 기능 및 특징(고성능의 L3 스위치 지원)

ARP Inspection 기능은 DHCP 환경에서 사용되며 DHCP request/reply 등의 패킷을 통해 DHCP binding table을 생성해 ARP 패킷의 이상 유무를 판단
DHCP 패킷 등을 인식해야 하기 때문에 일반적인 경우 L3 스위치 이상에서 지원
고정 IP 환경에서는 사용 불가

■ ARP Spoofing 방어 기능(특정 L3 스위치 지원)

Gateway(또는 방어하고자 하는 IP 설정)의 mac 주 소를 변경하려고 시도하는 ARP 패킷을 차단하여 ARP Spoofing 방지
환경에 영향 받지 않고 사용 가능
Gateway 등의 ARP Spoofing당할 수 있는 대상 지정하여 설정

■ 암호화 하는 방법 (IPSec/SSL/sRTP 등 사용)

PC/IP Phone 등 IP 장치에서 사용되는 모든 패킷을 암호화하여 사용할 경우 패킷을 sniffing하여도 암호화를 풀기 위해서는 많은 노력이 필요하기 때문에 하나의 방법이 될 수 있음
모든 PC 간, 서버 간에도 IPSec 등의 암호화가 이루어져야 하기 때문에 현실적으로 어려움 따름
VoIP의 경우 암호화를 통해 보안 문제를 줄일 수 있음

■ 툴을 사용해 ARP Spoofing을 인지하는 방법(Xarp 등)

아래와 같이 XArp 등을 사용해 PC의 ARP cache table의 변화를 감지
ARP Spoofing 공격을 당하고 있는 것은 알 수 있지만 어떤 PC 가 그러한 공격을 하고 있는지는 알 수 없음
일반적인 경우 ARP Spoofing 공격 시 mac 주소도 spoofing(변조)하여 사용하기 때문에 공격 중에 스위치 등에서 배운 mac table 등도 같이 참고하여 어떤 포트에서 그러한 공격을 하는지 확인해야만 공격자를 찾을 수 있음

■ ARP Spoofing 방지 기능(특정 보안 스위치 지원)

모든 환경에서 ARP Spoofing 방지 가능
별도의 보안 엔진을 이용해 ARP Spoofing되는 패킷만 선별 차단

여전히 남아 있는 ARP Spoofing의 위협 이상에서 여러 가지 ARP Spoofing 방지 방법을 알아 보았다. 하지만 이러한 방법들이 모두 ARP Spoofing 을 방지할 수 있는 것은 아니다. 왜냐하면 위에서 언급 한 것과 같이 대부분의 방법에는 제약 사항들이 있으며 모든 환경에서 어떠한 제약도 없이 공격을 막을 수 있는 방법들은 아니기 때문이다.

물론 마지막에 소개한 보안 스위치는 이러한 공격에 대한 해결책이 될 수 있지만 워크 그룹 스위치를 교체해야 하기 때문에 약간의 부담이 될 수는 있겠다. (보안이 우선시 될 경우 이러한 방법 외엔 딱히 방법이 없는 것이 현실이다.)

바이러스/웜에 의해 발생하는 유해 트래픽에 의한 네트워크 장애 발생

내부 보안의 중요성

근래에는 내부에서 발생하는 이상 트래픽에 의해 전체 네트워크가 마비되는 사고가 빈번히 보고 되곤 한다. 특히 대학교 등의 이동 PC를 많이 사용하는 환경일수 록 이러한 공격에 취약하다고 하겠다.

예를 들어 대학교의 경우 바이러스/웜에 감염된 노트북 을 사용하는 학생이 낮에는 전산실에서 이상 트래픽을 만들어 네트워크에 보내고 저녁엔 기숙사에서 같은 공 격을 가할 때 비록 하나의 PC에서 공격을 행하지만 그 파괴력은 환경에 따라 굉장히 커질 수도 있다.

이상 트래픽에 대한 대처

■ NAC/Flow monitoring tool 사용해 이상 트래픽 분석

근래에 여러 가지 형태의 NAC(Network Access Control) 솔루션이 등장했다. 모든 트래픽을 미러링 받아 트래픽을 분석하는 방법, 브로드캐스트/멀티캐스트 등을 받아 트래픽을 분석 하는 방법, 802.1x 를 기반하여 네트워크 접근을 제 어하는 솔루션 등등, 여러 가지 형태를 통해 이상 트래픽을 감지할 수 있다.
백본 스위치의 플로우 모니터링 방법( I PF i x / NetFlow/sFlow 등)을 통해 이상 트래픽을 감지하는 방법도 있다.

■ UTM/보안 스위치 등을 이용한 이상 트래픽 방지

사용자단 보안에 주로 사용되며 유입되는 트래픽을 분석하여 이상 트래픽 또는 특정 패턴에 대한 필터링이 가능하다.
UTM/보안스위치 등은 일반적으로 사용자단의 트래 픽을 손실 없이 처리하기에는 부족한 부분(유선 속 도 지원 부분)이 있어 트래픽이 많지 않은 곳에 적당 한 솔루션이다.
최근엔 유선 속도를 지원하는 보안 스위치도 시장에 선 보이고 있어 하나의 해결책으로 제시되고 있으며 많은 곳에서 보안에 대한 해결방법으로 각광을 받고 있다.

VoIP 환경에서의 보안-선행돼야 하는 데이터 네트워크 보안

Convergence 관점에서 볼 때 VoIP 보안이라 함은 데이터 보안에 기초하며 그것이 선행된 이후에 비로소 VoIP 보안을 얘기할 수 있다. 즉, 데이터 보안 없이는 VoIP 보안은 크게 의미가 없다고 해도 과언은 아니다. 물론 VoIP 시스템의 애플리케이션 보안만 이루어져도 어느 정도 정보 유출 등은 막을 수 있겠지만 이상 트래 픽 등에 의해 발생하는 네트워크 무력화 시도는 데이터 보안이 이루어져야만 막을 수 있는 것이다.

결론적으로 데이터 환경에서의 보안은 방화벽/침입탐 지 시스템 등을 이용한 외부 공격(DoS/DDoS) 방어, 보안 스위치 등을 이용한 사용자단 이상 트래픽 차단, ARP Spoofing 방어를 통한 도청 및 개인 정보 유출 방어 등으로 압축될 수 있으며 이러한 것이 선행된 후 에 VoIP에서의 보안 프로토콜을 이용한 보안이 이루어 져야 할 것이다.

VoIP 환경에서의 보안

VoIP 환경에서의 보안이라함은 앞에서도 언급하였듯이 보안 프로토콜을 사용한 암호화가 주를 이룬다(녹취 서버 등과 연동되는 경우 제외). 이제는 보안 프로토콜의 사용은 선택이 아닌 필수가 되었으며 거의 대부분의 VoIP 시스템이 이러한 보안 프로토콜을 지원하며 H.323/SIP 등의 표준 프로토콜도 보안에 대한 부분을 강화해 나아가고 있는 실정이다.

이러한 데이터 네트워크 보안의 기반 위에 VoIP 보안을 이루어 나아갈 때 전체적인 네트워크 보안이 완성될 수 있으며 사용자는 보다 고품질의 VoIP 서비스를 받을 수 있는 사용자 중심의 네트워크를 구축할 수 있다.

이것이 우리가 앞으로 해결해 나아가야 할 방향이자 숙제이다. 이것은 네트워크 관리자 개인의 노력보다는 모 든 사용자가 보안에 대해 관심을 가지고 공감대를 형성 할 때 보다 안정된 네트워크를 구축할 수 있으며 보안 침해로부터 자유로워질 수 있을 것이라 필자는 믿는다.

<글 : 이학수 LG-노텔 Enterprise Solutions Pre-Sales팀 과장 (haksulee@lg-nortel.com)>

[정보보호21c (info@boannews.com)]

최근 발생한 크라우드 스트라이크의 보안 SW 업데이트 오류 사태처럼 SW 공급망에 보안이슈가 발생할 경우 관련된 각종 시스템 및 IT 인프라 마비가 일어날 수 있다는 게 드러났습니다. 이러한 공급망 보안을 위협하는 가장 큰 요인은 무엇이라고 생각하시나요?
	랜섬웨어, 피싱 등의 사이버 공격
	SW 업데이트 및 SW 교체 과정에서의 오류
	SW 자체에 존재하는 보안 취약점
	시스템 관리자의 운영상 실수 및 관리 미흡
	기타(댓글로)