사이버 보안 관련 글을 읽다 보면 종종 “에어 갭(air-gapped)”이라는 용어를 접하게 됩니다. 이는 기술적인 명칭이기는 하지만, 사실 매우 단순한 개념을 의미합니다. 에어 갭 시스템은 잠재적인 위험을 가진 네트워크로부터 물리적으로 분리된 컴퓨터 시스템을 지칭합니다. 다시 말해, 컴퓨터를 오프라인 상태로 사용하는 것과 같습니다.
에어 갭 컴퓨터란 무엇일까요?
에어 갭 컴퓨터 시스템은 보안되지 않은 네트워크나 시스템에 물리적으로, 또는 무선으로 연결되어 있지 않습니다.
예를 들어, 랜섬웨어나 키로거, 기타 악성코드의 위협 없이 중요한 재무 문서나 사업 관련 문서를 안전하게 작업하고 싶다고 가정해 봅시다. 이 경우, 인터넷이나 네트워크에 연결되지 않은 오프라인 컴퓨터를 사무실에 설치하는 것이 한 방법입니다.
만약 여러분이 그렇게 했다면, 이 용어를 들어본 적이 없을지라도, 여러분은 이미 에어 갭이라는 개념을 직접 실천한 것입니다.
“에어 갭”이라는 용어는 컴퓨터와 외부 네트워크 사이에 실제로 “공기의 간격”이 존재한다는 점을 나타냅니다. 즉, 네트워크를 통해 연결되어 있지 않기 때문에 외부에서 공격을 시도할 수 없습니다. 네트워크를 통한 전자적 접근이 불가능하므로, 공격자는 실제로 컴퓨터 앞에 물리적으로 앉아서 컴퓨터를 직접 조작해야만 시스템을 손상시킬 수 있습니다.
에어 갭 컴퓨터는 언제, 왜 사용할까요?
모든 컴퓨터 작업이나 컴퓨팅 활동에 반드시 네트워크 연결이 필요한 것은 아닙니다.
예를 들어 발전소와 같은 핵심 기반 시설을 생각해 봅시다. 산업 시스템을 운영하기 위해서는 컴퓨터가 필요하지만, 이러한 컴퓨터들이 반드시 인터넷이나 네트워크에 연결되어 있어야 할 필요는 없습니다. 보안을 위해 “에어 갭” 상태로 유지하는 것이 바람직합니다. 이렇게 하면 네트워크 기반의 모든 위협을 차단할 수 있으며, 유일한 단점은 운영자가 위협을 관리하기 위해 물리적으로 그 자리에 있어야 한다는 점입니다.
가정에서도 에어 갭 컴퓨터를 활용할 수 있습니다. 예를 들어, Windows XP에서 가장 잘 작동하는 오래된 소프트웨어나 게임이 있다고 가정해 보겠습니다. 그 소프트웨어를 계속 사용하고 싶다면, 가장 안전한 방법은 해당 Windows XP 시스템을 “에어 갭” 상태로 유지하는 것입니다. Windows XP는 다양한 공격에 취약하지만, 시스템을 네트워크에 연결하지 않고 오프라인으로 사용한다면 위험을 크게 줄일 수 있습니다.
또는, 민감한 사업 또는 금융 데이터를 다루는 경우, 인터넷에 연결되지 않은 컴퓨터를 사용하는 것이 좋습니다. 장치를 오프라인으로 유지하는 한, 데이터 보안과 개인 정보 보호를 극대화할 수 있습니다.
스턱스넷(Stuxnet)은 어떻게 에어 갭 컴퓨터를 공격했을까요?
에어 갭 컴퓨터라고 해서 위협으로부터 완전히 안전한 것은 아닙니다. 사람들은 종종 USB 드라이브와 같은 이동식 저장 장치를 사용하여 에어 갭 컴퓨터와 네트워크에 연결된 컴퓨터 간에 파일을 주고받습니다. 예를 들어, 네트워크에 연결된 컴퓨터에서 응용 프로그램을 다운로드하여 USB 드라이브에 저장한 후, 에어 갭 컴퓨터로 가져와 설치할 수 있습니다.
이러한 방식은 공격 경로를 열어주는 것이며, 이는 이론적인 이야기가 아닙니다. 정교한 스턱스넷 웜이 바로 이런 방식으로 작동했습니다. 이 웜은 USB 드라이브와 같은 이동식 저장 장치를 감염시켜 확산되도록 설계되었으며, 사용자가 USB 드라이브를 에어 갭 컴퓨터에 연결할 때 “에어 갭”을 뛰어넘을 수 있었습니다. 또한, 조직 내에서 일부 에어 갭 컴퓨터들은 서로 연결되어 있었지만, 더 큰 네트워크에는 연결되어 있지 않았기 때문에, 다른 공격 방법을 통해 에어 갭 네트워크 전체로 확산되었습니다. 이 웜은 특정 산업용 소프트웨어 응용 프로그램을 표적으로 삼도록 설계되었습니다.
스턱스넷 웜은 이란의 핵 프로그램에 상당한 피해를 입혔으며, 이 웜은 미국과 이스라엘에서 개발한 것으로 알려져 있지만, 관련 국가들은 이 사실을 공개적으로 확인하지 않았습니다. 분명한 것은, 스턱스넷은 에어 갭 시스템을 공격하기 위해 설계된 매우 정교한 악성코드라는 사실입니다.
에어 갭 컴퓨터에 대한 기타 잠재적인 위협
악성코드가 에어 갭 네트워크를 통해 통신할 수 있는 다른 방법들도 존재하지만, 이 모든 방법들은 결국 감염된 USB 드라이브나 유사한 장치를 통해 에어 갭 컴퓨터에 악성코드를 유입시키는 방식과 관련이 있습니다. (또한, 누군가가 컴퓨터에 물리적으로 접근하여 시스템을 손상시키거나, 악성코드를 설치하거나, 하드웨어를 조작하는 경우도 포함될 수 있습니다.)
예를 들어, 악성코드가 USB 드라이브를 통해 에어 갭 컴퓨터에 유입된 후, 인터넷에 연결된 다른 감염된 컴퓨터가 가까이 있다면, 감염된 컴퓨터는 고주파 오디오 데이터 전송을 통해 에어 갭을 넘어 통신할 수 있습니다. 이는 컴퓨터의 스피커와 마이크를 사용하는 방식입니다. 이 기술은 Black Hat USA 2018에서 시연된 여러 기술 중 하나일 뿐입니다.
이러한 공격들은 매우 정교하며, 일반적인 온라인 악성코드보다 훨씬 더 복잡합니다. 그러나, 우리가 보았듯이, 이는 핵 프로그램을 보유한 국가들에 대한 우려 사항이기도 합니다.
그렇다고 해서 일반적인 악성코드가 문제가 되지 않는다는 의미는 아닙니다. 예를 들어, USB 드라이브를 통해 랜섬웨어에 감염된 설치 프로그램을 에어 갭 컴퓨터로 가져오면, 랜섬웨어는 해당 컴퓨터의 파일을 암호화하고 혼란을 야기할 수 있습니다. 그 후, 데이터를 복구하기 위해 돈을 지불해야 하는 상황이 발생할 수도 있습니다.
컴퓨터에 에어 갭을 만드는 방법
보시다시피, 컴퓨터에 에어 갭을 설정하는 것은 실제로 매우 간단합니다. 네트워크에서 연결을 끊기만 하면 됩니다. 인터넷에 연결하지 않고, 로컬 네트워크에도 연결하지 않아야 합니다. 모든 물리적 이더넷 케이블을 제거하고 컴퓨터의 Wi-Fi 및 Bluetooth 기능을 비활성화하십시오. 보안을 극대화하려면, 신뢰할 수 있는 설치 미디어에서 컴퓨터 운영 체제를 다시 설치하고, 그 후에는 완전히 오프라인으로 사용하는 것이 좋습니다.
파일을 전송해야 하는 경우에도 컴퓨터를 다시 네트워크에 연결해서는 안 됩니다. 예를 들어 소프트웨어를 다운로드해야 하는 경우, 인터넷에 연결된 다른 컴퓨터를 사용하여 소프트웨어를 다운로드한 다음, USB 드라이브와 같은 저장 장치로 옮겨서 파일을 주고받아야 합니다. 이렇게 하면 에어 갭 시스템이 네트워크를 통해 공격자에게 손상될 가능성을 줄이고, 에어 갭 컴퓨터에 키로거와 같은 악성코드가 설치되어 있더라도 네트워크를 통해 데이터를 전송하는 것을 차단할 수 있습니다.
더 나은 보안을 위해서는 에어 갭 컴퓨터에서 모든 무선 네트워크 하드웨어를 비활성화해야 합니다. 예를 들어, Wi-Fi 카드가 있는 데스크톱 PC의 경우, PC를 열고 Wi-Fi 하드웨어를 제거하는 것이 좋습니다. 만약 그것이 불가능하다면, 적어도 시스템의 BIOS 또는 UEFI 펌웨어 설정에서 Wi-Fi 하드웨어를 비활성화할 수 있습니다.
이론적으로 컴퓨터에 무선 네트워킹 하드웨어가 활성화되어 있다면, 에어 갭 컴퓨터의 악성코드가 Wi-Fi 하드웨어를 다시 활성화하고 Wi-Fi 네트워크에 연결할 수 있습니다. 따라서 원자력 발전소와 같은 민감한 환경에서는 내부에 무선 네트워크 하드웨어가 없는 컴퓨터 시스템을 사용하는 것이 필요합니다. 가정에서는 Wi-Fi 하드웨어를 비활성화하는 것만으로도 충분할 수 있습니다.
에어 갭 시스템에 다운로드하여 가져오는 소프트웨어에도 주의해야 합니다. USB 드라이브를 통해 에어 갭 시스템과 에어 갭이 아닌 시스템 간에 데이터를 지속적으로 주고받을 경우, 둘 다 동일한 악성코드에 감염될 수 있으며, 악성코드는 USB 드라이브를 통해 에어 갭 시스템에서 데이터를 유출할 수 있습니다.
마지막으로, 에어 갭 컴퓨터가 물리적으로 안전한지 확인해야 합니다. 이 경우, 물리적 보안에만 신경 쓰면 됩니다. 예를 들어 사무실에 민감한 사업 데이터를 저장한 에어 갭 중요 시스템이 있는 경우, 여러 사람이 항상 드나드는 사무실 중앙보다는 잠긴 방과 같은 보안 구역에 보관해야 합니다. 민감한 데이터가 저장된 에어 갭 노트북을 소지하고 있는 경우, 도난이나 물리적 손상으로부터 안전하게 보관해야 합니다.
(전체 디스크 암호화는 도난당했을 경우에도 컴퓨터에 저장된 파일을 보호하는 데 도움이 됩니다.)
대부분의 경우, 컴퓨터 시스템에 에어 갭을 적용하는 것은 현실적으로 어렵습니다. 컴퓨터는 일반적으로 네트워크에 연결되어 있어야 더 유용하기 때문입니다.
하지만 에어 갭은 제대로만 관리한다면 네트워크 위협으로부터 100% 보호를 보장하는 중요한 기술입니다. 시스템에 대한 물리적 접근을 차단하고, USB 드라이브를 통해 악성코드가 유입되는 것을 방지해야 합니다. 또한, 에어 갭은 비용이 많이 드는 보안 소프트웨어나 복잡한 설정 절차 없이도 무료로 사용할 수 있습니다. 특정 상황에서 특정 유형의 컴퓨팅 시스템을 보호하는 데 이상적인 방법입니다.