에어갭을 노리는 공격자들...완전 격리를 넘는 보안 전략 필요
[보안뉴스= 이종혁 세종대학교 정보보호학과 교수] 국가의 전력망, 반도체 생산라인, 은행의 국제결제망 등의 공통점은 무엇일까? 바로 외부와 물리적으로 단절된 ‘에어갭(Air-Gap)’ 환경에서 운용된다는 점이다. 에어갭은 사이버 보안의 ‘최후의 보루’이자 ‘절대 방어’의 동의어로 여겨져 왔다. 이는 인터넷과 연결되지 않았으니, 해킹은 불가능하다는 명확한 논리로 이어지기 때문이다.
[gettyimagesbank]
하지만, 2010년 USB 메모리 하나가 수천 번의 원심분리기 오작동을 일으켜 이란의 핵 프로그램을 수년이나 후퇴시킨 ‘스턱스넷(Stuxnet)’의 등장은 에어갭에 대한 절대적인 믿음을 송두리째 흔들었다. 그리고 15년이 흐른 지금, 에어갭을 향한 공격 기술은 상상을 초월할 정도로 교묘해졌고, 방어 기술 또한 그에 맞춰 발전하고 있다.
이에 따라 이제는 ‘연결만 끊으면 안전하다’라는 낡은 신화와 작별한 시간이다. 현대 에어갭이 마주한 복합적인 위협의 실체와, 이를 막기 위한 다층적 방어 전략, 그리고 앞으로 다가올 미래의 패러다임을 심층적으로 분석하고자 한다.
1. 틈새를 파고드는 위협: 보이지 않는 공격 벡터들
철옹성 같은 에어갭도 결국 사람이 운영하고 있으며, 외부와 최소한의 데이터 교류는 필요한 실정이다. 공격자들은 바로 이 필연적인 틈새를 집요하게 파고든다.
①물리적 매체와 내부자 위협: 가장 고전적이지만 여전히 유효한...
가장 대표적인 경로는 많이 인지하고 있듯이 USB 메모리다. 최근의 USB는 단순한 데이터 저장장치를 넘어, 펌웨어 자체를 조작해 PC에 연결 시, 키보드처럼 동작하는 ‘BadUSB’ 공격은 보안 소프트웨어를 우회해 악성 커맨드를 입력하도록 한다. 이와 관련해 USB를 기반으로 한 공격의 심각성은 2025년 Honeywell 보고서를 통해 확인할 수 있는데, 이는 실제 산업 제어 환경 사고의 4분의 1이 USB와 관련되었다고 지적하기 때문이다.
여기에 ‘내부자’라는 변수가 더해지게 되면 문제는 더욱 심각해진다. 악의를 가진 내부자는 물론, 보안 의식이 부족한 내부 직원의 사소한 실수가 큰 재앙을 부르기도 한다. 최근 공개된 한 SCADA 시스템 침해 사례는 이를 극명하게 보여주고 있다. 외부 유지보수 업체의 원격 접속 편의를 위해 직원이 무심코 연결한 4G 라우터가 에어갭을 무력화하는 ‘고속도로’가 되었고, 악성코드에 감염된 줄 모르고 반입한 USB는 그 고속도로의 ‘통행권’ 역할을 했다. 이는 기술적 통제가 이루어지기 이전, 사람 그리고 절차에 대한 중요성을 일깨우는 주요 계기가 되었다.
② 사이드 채널: 소리, 빛, 전파를 통한 데이터 탈취
공격은 때로 우리의 감각을 벗어난 영역에서 이루어진다. ‘사이드 채널(Side-Channel)’ 혹은 ‘은닉 채널(Covert Channel)’ 기반의 공격은 PC의 전원공급 장치나 모니터 케이블에서 발생하는 미세한 전자기파를 안테나로 수신하여 화면을 엿보거나, 하드디스크의 작동음을 분석함으로써 암호화 키를 추론하는 등의 방식을 사용한다. 최근에는 감염된 PC가 인간의 귀에는 들리지 않은 초음파를 통해 데이터를 출력하면, 공격자가 소지한 휴대폰, 노트북 등의 마이크가 이를 수신해 정보를 빼내는 정교한 기법까지 학계에 발표되고 있다. 이는 지금 당장 실전에서 광범위하게 사용되고 있는 공격 기술은 아니지만, 국가에서 지정한 기밀 정보를 노리는 공격자에게는 충분히 실현가능한 시나리오로써 고려할 수 있다.
③ 공급망 공격: 신뢰의 역습
공급망 공격은 에어갭 환경에 가장 치명적인 위협 중 하나다. 2014년 발견된 Havex 악성코드는 산업제어시스템 공급업체의 공식 웹사이트를 해킹해 정상적인 소프트웨어 업데이트 파일에 은닉한 바 있다. 이와 같은 상황에서 보안 관리자들은 신뢰할 수 있는 제조사의 서명이 담긴 파일이었기 때문에 의심 없이 이를 설치했으며, 이는 곧바로 폐쇄망 내부 시스템 감염으로 이어진 바 있다.
이와 더불어 단순한 DDoS 봇넷에서 시작된 Black Energy 악성코드는 파괴적인 KillDisk 플러그인을 장착한 바 있으며, 사이버전 무기로 진화한 바 있다. 2015년 우크라이나 정전 사태 당시, 이 악성코드는 전력망 운영 시스템을 직접 파괴해 에어갭 너머의 물리적 세상에 직접적인 피해를 줬다. 이는 신뢰하는 소프트웨어와 하드웨어가 어떻게 무기로 돌변할 수 있는지를 보일 수 있는 주요 계기가 되었다.
이와 같은 복잡한 공격 벡터 그리고 이에 대한 대응 방안을 요약하면 다음과 같이 정리될 수 있다.
▲복잡한 공격 벡터와 대응방안 [자료: 이종혁 교수]
2. 방어 패러다임의 전환: 제로 트러스트 기반의 다층 방어
공격이 이처럼 다각화되고 고도화됨에 따라, 방어 전략 역시 ‘완벽한 고립’이라는 단일 차원에서 벗어나 ‘침투를 항상 가정하고, 단계별로 검증하며 대응하는’ 제로 트러스트 기반의 다층 방어로 진화하고 있다.
①1단계 방어선: 데이터 다이오드
외부에서 내부로 데이터를 들여오는 동시에 내부 데이터는 절대로 밖으로 나가지 못하게 하는 물리적 보안 장치 중 하나다. 한쪽에는 광 송신기만을, 다른 쪽에는 광 수신기만을 배치하는 방식으로 데이터의 역류를 하드웨어적으로 불가능하게 한다. 소프트웨어 설정에 의존하는 기존의 방화벽과는 달리, 물리적 구조로 보증된 일방향 통신은 데이터 유출을 원천적으로 차단하는 가장 강력한 통제 수단으로 설명할 수 있다.
②2단계 방어선: 보안 키오스크
USB 등 외부 매체를 내부망에 연결하기 전에 반드시 거쳐야 하는 검역소 역할을 한다. 사용자가 USB를 연결하면, 키오스크는 격리된 환경에서 다수의 안티바이러스 엔진으로 악성코드를 검사한다. 이에 더 나아가, 문서나 이미지 파일의 구조를 분석해 매크로, 스크립트 등 잠재적으로 위험한 액티브 콘텐츠를 모두 제거하고 안전한 요소만으로 파일을 재조립하는 CDR 기술로 클린 파일을 생성, 내부로 반입하도록 할 수 있다.
③3단계 방어선: 폐쇄망 EDR
하지만, 이렇게 다단계 방어선을 갖추더라도 공격 기술이 점차 정교해짐에 따라 방어선이 무력화될 수 있다. 이에 최후의 보루를 두어야 하는데, 폐쇄망 내부 서버와 단말기의 모든 프로세스 실행, 파일 생성, 레지스트리 변경, 네트워크 연결 시도를 실시간으로 기록하고 분석한다. 사전에 정의된 공격 패턴이나 머신러닝 기반의 비정상적인 행위가 탐지되면 즉시 보안 관리자에게 이에 대한 경보를 보내고 해당 프로세스를 차단함으로써, 내부에서 시작된 위협이 확산하는 것을 막을 수 있다.
3. 에어갭 미래: 경계의 확장과 지능화
이와 같은 상황에서 에어갭 개념은 이제 물리적 경계를 넘어 논리적 그리고 지능적 차원으로 확장되고 있다.
①가상 에어갭: 유연성 그리고 보안의 접점
물리적 에어갭은 보안성이 높지만, 데이터를 백업하거나 복구를 수행함에 있어 수일이 소요되는 운영의 경직성이 크다. 이에 ‘가상 에어갭’이 이와 같은 문제를 해결하기 위한 대안으로 제시가 되고 있다. 보다 세부적으로 이는 백업 데이터를 암호화하고, 삭제나 변조가 불가능한 불변 스토리지에 저장함으로써 복구 시에만 엄격한 다단계 인증을 거쳐 일시적으로 통로를 여는 방식으로 논리적 격리를 구현하고 있는 상황이다. 더 나아가 이는 수십년간 발생하고 있는 랜섬웨어 공격 시에도 몇 시간, 혹은 몇 분 내로 데이터를 복구할 수 있는 사이버 리질리언스(Cyber Resilience)의 핵심 기술로 자리 잡고 있다. 물리적 에어갭과 가상 에어갭의 특징은 다음과 같이 비교될 수 있다.
▲물리적 에어갭과 가상 에어갭츼 특징 비교 [자료: 이종혁 교수]
②IoT와 AI: 새로운 도전과 기회
스마트 센서, 산업용 IoT 기기들이 OT 망에 연결되면서, 이들 기기의 취약점이 새로운 침투 경로가 될 수 있다는 점은 에어갭 경계를 모호하게 만들고 있음을 의미한다. 이에 폐쇄망 내부에 AI 분석 엔진을 도입하고, 수많은 센서 데이터와 시스템 로그 속에서 인간이 놓치기 쉬운 미세한 이상 징후를 AI가 스스로 학습하고 탐지하게 하는 것은 보안 관제의 수준을 한 단계 끌어 올릴 기회이기도 하다. 하지만, AI 기술을 도입하는 것은 데이터에 대한 지속적인 업데이트가 요구되어 격리된 환경에서 안전하게 데이터를 업데이트해 활용할 수 있는 기술에 대해서도 고안이 되어야 한다.
결론: 지능형 보안 요새를 향해
이번 분석을 통해 기억해야 하는 것은, 보안은 더 이상 완벽한 고립을 통해 달성되지 않으며, 지속적인 모니터링, 신속한 대응, 그리고 리질리언스를 통해 완성될 수 있다는 사실이다. 미래의 에어갭은 과거에 빗대어 설명하자면 단단한 벽을 높이 쌓는 ‘성벽 모델’이 아니라, 구역마다 철저한 검문이 이루어지고, 내부의 모든 움직임을 감시하며, 유사시 특정 구역을 즉시 폐쇄하고 복구할 수 있는 지능형 모델로 진화해야 한다. 기술적 통제, 엄격한 관리 정책, 그리고 이해관계자에 대한 끊임없는 교육이 유기적으로 결합되어 이루어질 때 비로소 우리는 완전한 에어갭 보안에 관한 이야기를 할 수 있을 것이다.
[글_이종혁 세종대학교 정보보호학과 교수/SAIST 사이버보안연구센터 센터장]
[보안뉴스= 이종혁 세종대학교 정보보호학과 교수] 국가의 전력망, 반도체 생산라인, 은행의 국제결제망 등의 공통점은 무엇일까? 바로 외부와 물리적으로 단절된 ‘에어갭(Air-Gap)’ 환경에서 운용된다는 점이다. 에어갭은 사이버 보안의 ‘최후의 보루’이자 ‘절대 방어’의 동의어로 여겨져 왔다. 이는 인터넷과 연결되지 않았으니, 해킹은 불가능하다는 명확한 논리로 이어지기 때문이다.
[gettyimagesbank]
하지만, 2010년 USB 메모리 하나가 수천 번의 원심분리기 오작동을 일으켜 이란의 핵 프로그램을 수년이나 후퇴시킨 ‘스턱스넷(Stuxnet)’의 등장은 에어갭에 대한 절대적인 믿음을 송두리째 흔들었다. 그리고 15년이 흐른 지금, 에어갭을 향한 공격 기술은 상상을 초월할 정도로 교묘해졌고, 방어 기술 또한 그에 맞춰 발전하고 있다.
이에 따라 이제는 ‘연결만 끊으면 안전하다’라는 낡은 신화와 작별한 시간이다. 현대 에어갭이 마주한 복합적인 위협의 실체와, 이를 막기 위한 다층적 방어 전략, 그리고 앞으로 다가올 미래의 패러다임을 심층적으로 분석하고자 한다.
1. 틈새를 파고드는 위협: 보이지 않는 공격 벡터들
철옹성 같은 에어갭도 결국 사람이 운영하고 있으며, 외부와 최소한의 데이터 교류는 필요한 실정이다. 공격자들은 바로 이 필연적인 틈새를 집요하게 파고든다.
①물리적 매체와 내부자 위협: 가장 고전적이지만 여전히 유효한...
가장 대표적인 경로는 많이 인지하고 있듯이 USB 메모리다. 최근의 USB는 단순한 데이터 저장장치를 넘어, 펌웨어 자체를 조작해 PC에 연결 시, 키보드처럼 동작하는 ‘BadUSB’ 공격은 보안 소프트웨어를 우회해 악성 커맨드를 입력하도록 한다. 이와 관련해 USB를 기반으로 한 공격의 심각성은 2025년 Honeywell 보고서를 통해 확인할 수 있는데, 이는 실제 산업 제어 환경 사고의 4분의 1이 USB와 관련되었다고 지적하기 때문이다.
여기에 ‘내부자’라는 변수가 더해지게 되면 문제는 더욱 심각해진다. 악의를 가진 내부자는 물론, 보안 의식이 부족한 내부 직원의 사소한 실수가 큰 재앙을 부르기도 한다. 최근 공개된 한 SCADA 시스템 침해 사례는 이를 극명하게 보여주고 있다. 외부 유지보수 업체의 원격 접속 편의를 위해 직원이 무심코 연결한 4G 라우터가 에어갭을 무력화하는 ‘고속도로’가 되었고, 악성코드에 감염된 줄 모르고 반입한 USB는 그 고속도로의 ‘통행권’ 역할을 했다. 이는 기술적 통제가 이루어지기 이전, 사람 그리고 절차에 대한 중요성을 일깨우는 주요 계기가 되었다.
② 사이드 채널: 소리, 빛, 전파를 통한 데이터 탈취
공격은 때로 우리의 감각을 벗어난 영역에서 이루어진다. ‘사이드 채널(Side-Channel)’ 혹은 ‘은닉 채널(Covert Channel)’ 기반의 공격은 PC의 전원공급 장치나 모니터 케이블에서 발생하는 미세한 전자기파를 안테나로 수신하여 화면을 엿보거나, 하드디스크의 작동음을 분석함으로써 암호화 키를 추론하는 등의 방식을 사용한다. 최근에는 감염된 PC가 인간의 귀에는 들리지 않은 초음파를 통해 데이터를 출력하면, 공격자가 소지한 휴대폰, 노트북 등의 마이크가 이를 수신해 정보를 빼내는 정교한 기법까지 학계에 발표되고 있다. 이는 지금 당장 실전에서 광범위하게 사용되고 있는 공격 기술은 아니지만, 국가에서 지정한 기밀 정보를 노리는 공격자에게는 충분히 실현가능한 시나리오로써 고려할 수 있다.
③ 공급망 공격: 신뢰의 역습
공급망 공격은 에어갭 환경에 가장 치명적인 위협 중 하나다. 2014년 발견된 Havex 악성코드는 산업제어시스템 공급업체의 공식 웹사이트를 해킹해 정상적인 소프트웨어 업데이트 파일에 은닉한 바 있다. 이와 같은 상황에서 보안 관리자들은 신뢰할 수 있는 제조사의 서명이 담긴 파일이었기 때문에 의심 없이 이를 설치했으며, 이는 곧바로 폐쇄망 내부 시스템 감염으로 이어진 바 있다.
이와 더불어 단순한 DDoS 봇넷에서 시작된 Black Energy 악성코드는 파괴적인 KillDisk 플러그인을 장착한 바 있으며, 사이버전 무기로 진화한 바 있다. 2015년 우크라이나 정전 사태 당시, 이 악성코드는 전력망 운영 시스템을 직접 파괴해 에어갭 너머의 물리적 세상에 직접적인 피해를 줬다. 이는 신뢰하는 소프트웨어와 하드웨어가 어떻게 무기로 돌변할 수 있는지를 보일 수 있는 주요 계기가 되었다.
이와 같은 복잡한 공격 벡터 그리고 이에 대한 대응 방안을 요약하면 다음과 같이 정리될 수 있다.
▲복잡한 공격 벡터와 대응방안 [자료: 이종혁 교수]
2. 방어 패러다임의 전환: 제로 트러스트 기반의 다층 방어
공격이 이처럼 다각화되고 고도화됨에 따라, 방어 전략 역시 ‘완벽한 고립’이라는 단일 차원에서 벗어나 ‘침투를 항상 가정하고, 단계별로 검증하며 대응하는’ 제로 트러스트 기반의 다층 방어로 진화하고 있다.
①1단계 방어선: 데이터 다이오드
외부에서 내부로 데이터를 들여오는 동시에 내부 데이터는 절대로 밖으로 나가지 못하게 하는 물리적 보안 장치 중 하나다. 한쪽에는 광 송신기만을, 다른 쪽에는 광 수신기만을 배치하는 방식으로 데이터의 역류를 하드웨어적으로 불가능하게 한다. 소프트웨어 설정에 의존하는 기존의 방화벽과는 달리, 물리적 구조로 보증된 일방향 통신은 데이터 유출을 원천적으로 차단하는 가장 강력한 통제 수단으로 설명할 수 있다.
②2단계 방어선: 보안 키오스크
USB 등 외부 매체를 내부망에 연결하기 전에 반드시 거쳐야 하는 검역소 역할을 한다. 사용자가 USB를 연결하면, 키오스크는 격리된 환경에서 다수의 안티바이러스 엔진으로 악성코드를 검사한다. 이에 더 나아가, 문서나 이미지 파일의 구조를 분석해 매크로, 스크립트 등 잠재적으로 위험한 액티브 콘텐츠를 모두 제거하고 안전한 요소만으로 파일을 재조립하는 CDR 기술로 클린 파일을 생성, 내부로 반입하도록 할 수 있다.
③3단계 방어선: 폐쇄망 EDR
하지만, 이렇게 다단계 방어선을 갖추더라도 공격 기술이 점차 정교해짐에 따라 방어선이 무력화될 수 있다. 이에 최후의 보루를 두어야 하는데, 폐쇄망 내부 서버와 단말기의 모든 프로세스 실행, 파일 생성, 레지스트리 변경, 네트워크 연결 시도를 실시간으로 기록하고 분석한다. 사전에 정의된 공격 패턴이나 머신러닝 기반의 비정상적인 행위가 탐지되면 즉시 보안 관리자에게 이에 대한 경보를 보내고 해당 프로세스를 차단함으로써, 내부에서 시작된 위협이 확산하는 것을 막을 수 있다.
3. 에어갭 미래: 경계의 확장과 지능화
이와 같은 상황에서 에어갭 개념은 이제 물리적 경계를 넘어 논리적 그리고 지능적 차원으로 확장되고 있다.
①가상 에어갭: 유연성 그리고 보안의 접점
물리적 에어갭은 보안성이 높지만, 데이터를 백업하거나 복구를 수행함에 있어 수일이 소요되는 운영의 경직성이 크다. 이에 ‘가상 에어갭’이 이와 같은 문제를 해결하기 위한 대안으로 제시가 되고 있다. 보다 세부적으로 이는 백업 데이터를 암호화하고, 삭제나 변조가 불가능한 불변 스토리지에 저장함으로써 복구 시에만 엄격한 다단계 인증을 거쳐 일시적으로 통로를 여는 방식으로 논리적 격리를 구현하고 있는 상황이다. 더 나아가 이는 수십년간 발생하고 있는 랜섬웨어 공격 시에도 몇 시간, 혹은 몇 분 내로 데이터를 복구할 수 있는 사이버 리질리언스(Cyber Resilience)의 핵심 기술로 자리 잡고 있다. 물리적 에어갭과 가상 에어갭의 특징은 다음과 같이 비교될 수 있다.
▲물리적 에어갭과 가상 에어갭츼 특징 비교 [자료: 이종혁 교수]
②IoT와 AI: 새로운 도전과 기회
스마트 센서, 산업용 IoT 기기들이 OT 망에 연결되면서, 이들 기기의 취약점이 새로운 침투 경로가 될 수 있다는 점은 에어갭 경계를 모호하게 만들고 있음을 의미한다. 이에 폐쇄망 내부에 AI 분석 엔진을 도입하고, 수많은 센서 데이터와 시스템 로그 속에서 인간이 놓치기 쉬운 미세한 이상 징후를 AI가 스스로 학습하고 탐지하게 하는 것은 보안 관제의 수준을 한 단계 끌어 올릴 기회이기도 하다. 하지만, AI 기술을 도입하는 것은 데이터에 대한 지속적인 업데이트가 요구되어 격리된 환경에서 안전하게 데이터를 업데이트해 활용할 수 있는 기술에 대해서도 고안이 되어야 한다.
결론: 지능형 보안 요새를 향해
이번 분석을 통해 기억해야 하는 것은, 보안은 더 이상 완벽한 고립을 통해 달성되지 않으며, 지속적인 모니터링, 신속한 대응, 그리고 리질리언스를 통해 완성될 수 있다는 사실이다. 미래의 에어갭은 과거에 빗대어 설명하자면 단단한 벽을 높이 쌓는 ‘성벽 모델’이 아니라, 구역마다 철저한 검문이 이루어지고, 내부의 모든 움직임을 감시하며, 유사시 특정 구역을 즉시 폐쇄하고 복구할 수 있는 지능형 모델로 진화해야 한다. 기술적 통제, 엄격한 관리 정책, 그리고 이해관계자에 대한 끊임없는 교육이 유기적으로 결합되어 이루어질 때 비로소 우리는 완전한 에어갭 보안에 관한 이야기를 할 수 있을 것이다.
[글_이종혁 세종대학교 정보보호학과 교수/SAIST 사이버보안연구센터 센터장]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png){kind=spacer}
.png)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
