`USB저장장치 부팅디스크를 이용한 PC해킹을 막아라.`
공무원 시험 준비생(공시생)이 인사혁신처에 침입해 USB 부팅디스크를 이용해 PC 비밀번호를 해제했다. 공시생은 PC에서 7급 공무원 시험성적과 합격자 명단을 조작했다. USB저장장치 부팅은 물론 주요문서 접근도 막지 못했다.
이런 해킹을 막는 기초 방법은 시모스(CMOS) 비밀번호 설정이다. 국가정보원 PC보안지침에 따르면 정부PC는 부팅단계 시모스 비밀번호를 설정해야 한다. 하지만, 상당수 기업과 기관은 시모스에 비밀번호를 설정하지 않는다. 비밀번호 설정과 관리가 어려운 탓이다. 비밀번호가 기억나지 않으면 PC 메인보드에서 전원 배터리를 물리적으로 분리해야 초기화된다. 중요 문서 접근 보안도 문제다.
보안전문가들은 시모스 비밀번호 설정을 넘어 내부정보유출 방지에 신경써야할 시점이라고 강조한다. CIDISK(대표 조성곤)는 PC내 하드 디스크에 보이지 않는 저장공간을 만들어 USB 부팅 공격에 대응한다. PC 하드디스크나 휴대용 외장장치에 `스텔스 비행기`처럼 `투명금고`를 만둔다. CIDISK는 디스크 내부 논리적 구조를 바꾸고 커널레벨에서 처리한다. USB저장장치로 PC를 부팅해도 CIDISK 내에 저장된 파일은 존재 자체를 알 수 없다. 권용구 CIDISK 부사장은 “관련 기술은 특정 디스크에 물리적으로 안전한 영역을 직접 제어 한다”며 “해당 디스크를 물리적으로 분리해 다른 PC에 이동해 부착해도 저장된 내용을 전혀 볼 수 없다”고 말했다.
수산INT(대표 이승석)는 가상화 기술을 이용한 정보유출방지(DLP) 솔루션 `이레드 버추얼 실드 S1`을 제안했다. 이레드 버추얼 실드 S1은 데이터 보호 전용 스토리지를 제공한다. 웹 기반 전용 스토리지에 저장한 파일을 PC 일반 영역으로 옮겨도 보안 영역 사용을 해제하면 관련 파일은 사라진다. 박형배 수산INT 연구개발본부장은 “부팅 USB로 PC에 접근해도 TPM(Trusted Platform Module)로 디스크가 암호화해 해커 화면에서는 보이지 않는다”며 “정보 유출이나 위변조 위험이 사라진다”고 설명했다.
물리적으로 USB저장장치 부팅을 막는 방법도 있다. 아이테오솔루션즈(대표 유태종) `포트가디언`은 허가된 USB 저장장치만 허용하는 솔루션이다. 포트가디언은 PC 시모스-바이오스 접근제어 기능을 제공한다. 포트가디언 MK링커는 PC가 바이오스인지 OS인지 상태를 구분해 지정된 OS일때만 키보드와 마우스 기능을 활성화한다. USB 저장장치로 부팅을 시도하면 마우스와 키보드가 작동하지 않는다. 기존 USB물리보안 제품은 단순 차폐에 집중했다. 포트가디언은 물리적으로 USB 포트를 잠그는 것은 물론 소프트웨어로 모니터링 기능을 구현했다.
A은행 최고정보보호책임자(CISO)는 “시모스 비밀번호 설정 등 규정을 지키지 않는 구성원 보안 의식 부재가 가장 큰 문제”라며 “보안은 기술과 프로세스, 사람 등 삼박자가 맞춰야 유지된다”고 설명했다.
김인순 보안 전문기자 insoon@etnews.com
