이스라엘 연구진이 RAM에서 발생하는 전자기 방사를 악용해 고도의 보안을 자랑하는 에어갭 컴퓨터에서 데이터를 빼내는 새로운 방법을 발표했다. 이 공격은 RAMBO(Radiation of Air-gapped Memory Bus for Offense)로 명명되었으며, 인터넷 등 네트워크와 단절된 시스템도 완전히 안전하지 않다는 사실을 보여주었다.

RAM(랜덤 액세스 메모리, Random Access Memory)은 컴퓨터나 스마트폰과 같은 전자기기의 데이터를 임시로 저장하는 메모리 장치다. 주로 CPU가 실행할 프로그램의 데이터나 명령어를 빠르게 읽고 쓸 수 있도록 지원하는 역할을 한다.

에어갭 시스템(Air-gapped systems)은 외부 네트워크, 특히 인터넷과 물리적으로 연결되지 않은 컴퓨터 시스템을 의미한다. 이러한 시스템은 보안을 최우선으로 해야 하는 환경에서 주로 사용되며, 외부 네트워크와의 단절을 통해 악성코드, 해킹, 원격 공격 등으로부터 보호된다.

특히 에어갭 컴퓨터는 외부 네트워크와 연결되지 않은 시스템으로, 핵심적인 임무가 요구되는 정부 기관, 군사 시설, 원자력 발전소 등에서 사용된다. 이러한 시스템은 격리되어 있어 악성 소프트웨어나 데이터 탈취로부터 안전하다고 여겨지지만, 내부 인원의 배신이나 USB 등 물리적인 매체를 통한 감염 가능성은 남아 있다.

◆RAMBO 공격의 작동 원리

RAMBO 공격은 에어갭 시스템에 악성코드를 심어 민감한 정보를 수집하고 이를 전송하는 방식으로 작동한다. 이 악성코드는 컴퓨터의 메모리 접근 패턴(읽기/쓰기 작업)을 조작해, RAM에서 발생하는 약한 전자기 신호를 생성한다. 이 신호는 주변 공격자가 소프트웨어 정의 무선(SDR)과 같은 저가 장비를 사용해 쉽게 수신할 수 있다.

RAMBO 공격에서는 온오프 변조(On-Off Keying, OOK) 방식을 사용해 1과 0을 전자기 신호로 변환한다. ‘1’은 신호가 켜진 상태, ‘0’은 꺼진 상태로 표현된다. 연구진은 데이터를 전송하는 동안 오류 검출 및 신호 동기화를 강화하기 위해 맨체스터 코드(Manchester code)를 채택했다. 공격자는 이 전자기 신호를 포착해 원래의 이진 정보로 복원할 수 있다. 이 정보는 비밀번호, 암호화 키, 중요한 문서 파일 등 다양한 민감 데이터를 포함할 수 있다.

RAMBO 공격은 소량의 데이터를 전송하는 데 매우 효과적이다. 최대 1,000bps의 전송 속도를 기록하며, 이는 초당 128바이트(0.125KB/s)의 속도다. 이 속도는 크기가 큰 파일을 탈취하는 데는 비효율적이지만, 비밀번호, 키 입력, 암호화 키 등 중요한 데이터를 탈취하는 데는 충분하다. 예를 들어, 연구진은 4096비트 RSA 키를 4초에서 42초 사이에 빼낼 수 있음을 입증했다.

공격 범위는 전송 속도에 따라 달라진다. 고속 전송의 경우 최대 3미터(약 10피트) 범위에서 동작하며, 느린 속도로 전송할 경우 7미터(약 23피트)까지 범위가 확장된다. 다만 속도가 빠를수록 오류율이 증가하며, 연구진은 10,000bps의 속도로 실험했지만 5,000bps를 넘기면 신호 대 잡음 비율이 낮아져 전송 효율이 크게 떨어진다고 밝혔다.

◆방어 대책과 도전 과제

RAMBO 공격은 기존 보안 방어책으로는 탐지하거나 차단하기 어려운 점이 특히 우려된다. 이 공격은 RAM에서 발생하는 전자기 신호를 악용하기 때문에, 네트워크 트래픽이나 파일 시스템 변조를 감시하는 전통적인 보안 도구로는 쉽게 잡아내기 힘들다.

이를 막기 위해 연구진은 몇 가지 방어 대책을 제안했다:

▲물리적 보안 강화: 공기 격리 시스템 주변의 접근을 제한하는 물리적 방어를 강화해야 한다.

▲전자기 방해 장치: 전자기 방사 신호를 방해하는 장치를 사용해 신호가 포착되지 않도록 해야 한다.

▲패러데이 케이지: 공기 격리 시스템을 패러데이 케이지에 넣어 전자기 방사를 외부로부터 차단할 수 있다.

▲RAM 신호 교란: RAM 동작 시 신호를 방해해 전자기 방사 신호 자체를 교란하는 방법도 제안되었다.

그러나 이러한 방어 대책은 상당한 비용과 운영상의 부담을 초래할 수 있다. 예를 들어, 패러데이 케이지를 설치하는 것은 비용이 많이 들며, 유지 관리가 필요한 환경에서는 설치가 까다롭다. 또한 RAM 신호 교란 방식은 시스템 성능에 영향을 미칠 수 있어 적용이 어렵다.

사이버 보안 전문가들은 RAMBO가 측면 채널 공격의 정교함을 다시 한번 보여준다고 말한다. RAMBO 프로젝트를 이끈 모르데차이 구리 박사는 과거에도 네트워크 카드, USB 드라이브, 전원 공급 장치의 신호를 이용해 데이터를 유출하는 방법을 개발한 바 있다. 그는 이번 연구를 통해 시스템의 물리적 특성을 악용하는 공격이 전통적인 보안 모델에서 간과되기 쉽다고 경고했다.

한 보안 전문가는 "에어갭 시스템이 더 이상 완전히 안전하다고 할 수 없는 시대에 접어들었다"고 말했다. "인터넷에 연결되지 않았다는 이유로 시스템이 안전하다고 믿는 것은 이제 더 이상 유효하지 않다. 물리적 보안도 네트워크 보안만큼 중요하게 고려해야 한다."

전문가들은 또한 RAMBO의 데이터 전송 속도가 느리다는 점에 주목하며, 이로 인해 대량의 데이터를 탈취하기보다는 비밀번호나 암호화 키와 같은 민감한 소량의 데이터가 주요 타깃이 될 가능성이 높다고 경고했다. 하지만 이러한 공격 기법이 더 발전하면, 더 빠르고 효율적인 방식으로 공기 격리 시스템에서 데이터를 빼낼 가능성도 충분히 있다.

RAMBO는 RAM의 물리적 특성을 이용해 공기 격리 시스템에서 데이터를 유출할 수 있는 측면 채널 공격의 새로운 가능성을 보여주었다. 비록 전송 속도는 느리지만, 중요한 데이터를 빠르게 탈취할 수 있는 능력은 매우 위협적이다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★