최근 발견된 취약점인 "Blast-RADIUS" 공격이 네트워크 인증에 널리 사용되는 레디우스(이하 RADIUS) 프로토콜의 치명적인 보안을 위협하고 있다. 함성윤 빅오 상무는 “국내에서 RADIUS 네트워크 인증 시스템을 사용하는 모든 기관과 기업들은 모두 위험에 노출된 상황이다. 즉각적인 대응이 필요하다”고 강조했다.
이 공격은 해커가 인증 메커니즘을 우회해 관리자 권한을 획득할 수 있게 하며, 산업 제어 시스템, 통신 서비스, ISP, 그리고 기업 네트워크를 포함한 다양한 환경에서 사용되는 장치에 침입할 수 있는 취약점이라 상당히 위험한 상황이다. 이번 취약점은 RADIUS가 여전히 오래된 MD5 해시 함수에 의존하고 있다는 점에서 비롯되었다.
■ RADIUS, 전 세계 네트워크 인프라의 핵심…Blast-RADIUS 공격은 심각한 보안위협
RADIUS는 1990년대 초에 개발된 프로토콜로, 초기에는 다이얼업 네트워크 접속을 위해 설계되었으나, 이후에는 VPN, 와이파이 인증, 그리고 기업 및 통신 인프라 장치와 같은 현대 네트워크에서도 널리 사용되고 있다. 현재까지 약 86개의 벤더가 RADIUS를 지원하고 있으며, 다양한 네트워크 환경에서 중요한 역할을 하고 있다.
Blast-RADIUS 취약점의 핵심은 1991년에 도입된 MD5 해시 함수에 있다. 당시에는 널리 사용되던 암호화 해시 함수였지만, 2000년대 초부터 MD5의 주요 결함이 발견되기 시작했다. 특히 해커가 두 가지 다른 입력값으로 동일한 해시 출력을 생성할 수 있는 '충돌 공격'에 취약하다는 점이 밝혀졌다.
보안연구원들은 해커가 두 개의 다른 입력값으로 동일한 MD5 해시를 생성할 수 있는 '선택된 접두사 충돌' 기술을 통해 암호화 인증서 위조 및 데이터 조작이 가능하다는 것을 보여주었다. 이러한 위험이 있음에도 불구하고 MD5는 여전히 많은 레거시 시스템에서 사용되고 있으며, RADIUS 역시 그 중 하나다.
Blast-RADIUS 공격은 MD5의 취약점을 이용해 RADIUS 인증을 우회하는 방식이다. 2024년 7월에 발표된 연구에 따르면, 해커는 RADIUS 클라이언트(예: 라우터 또는 스위치)와 RADIUS 서버 간의 트래픽을 가로채고 수정할 수 있는 것으로 밝혀졌다.
보안연구원들은 MD5 충돌 도구인 해시크레시(hashclash)를 최적화하여 해커는 가짜 인증 응답을 생성해 RADIUS 클라이언트가 잘못된 인증 정보임에도 불구하고 로그인을 허용하도록 속일 수 있다고 전했다.
실제 공격에서는 해커가 잘못된 비밀번호로 인증 요청을 시작하고, RADIUS 응답을 조작해 MD5 충돌 기술을 사용해 '접속 허용' 메시지를 클라이언트 시스템에 전달한다. 이를 통해 해커는 원래 인증 정보를 알지 못하더라도 시스템에 대한 무단 접근 권한을 얻을 수 있게 된다.
RADIUS는 전 세계 네트워크 인프라의 핵심으로, Blast-RADIUS 공격은 광범위한 보안위협을 가할 수 있다. 통신사, ISP, 그리고 기업들은 RADIUS를 사용해 다양한 서비스의 인증을 보호하고 있다. 특히, 암호화되지 않은 채널을 통해 UDP(사용자 데이터그램 프로토콜)를 사용하는 RADIUS 트래픽은 가로채기와 수정에 취약하다.
많은 장치가 여전히 평문으로 RADIUS 패킷을 전송하며, 이는 공격에 더욱 노출될 수 있다. 일부 벤더는 TLS(전송 계층 보안)를 통해 RADIUS 트래픽을 암호화하고 있지만, 대부분의 하드웨어는 여전히 구형 버전의 프로토콜을 사용하고 있어 심각한 위협이 될 수 있다. 한국의 많은 기관과 기업들도 자유롭지 못하다.
Blast-RADIUS 취약점이 공개된 후, 90개 이상의 벤더들이 보안 공지를 발표했다. 주요 벤더인 시스코, 마이크로소프트, 프리레디우스, 노키아 등은 HMAC-MD5를 사용한 패킷 인증과 같은 단기적인 해결책을 제공하고 있다. 그러나 이러한 패치는 일시적인 해결책에 불과하다.
■ RADIUS 프로토콜, TLS 또는 DTLS로 전환하는 것이 근본 해결책
사이버 보안 전문가들은 RADIUS 프로토콜을 TLS 또는 DTLS(데이터그램 전송 계층 보안)로 전환하는 것이 장기적이고 근본적인 해결책이라고 입을 모으고 있다. 이들 프로토콜은 요청 내 사용자 데이터의 기밀성을 보장하고, 접속 허용 및 접속 거부 응답의 무결성을 보호할 수 있다. 그러나 이러한 전환에는 시간이 걸릴 것으로 보인다.
현재 IETF(인터넷 엔지니어링 태스크 포스) 내에서 RADIUS 프로토콜의 업데이트 작업이 진행 중이며, 모든 RADIUS 통신에 TLS 사용을 의무화하는 사양이 준비되고 있다. 하지만 이러한 작업이 완료되고 널리 채택되기까지는 몇 달에서 몇 년이 소요될 수 있다.
한편, 전문가들은 RADIUS 트래픽이 내부 보안 네트워크 내에서만 이루어지도록 보장할 것을 권고하고 있다. 가능한 경우, 제공된 패치를 적용하고 모든 RADIUS 트랜잭션에 메시지 인증 속성을 활성화해야 한다고 조언했다. 또한, RADIUS 트래픽이 신뢰할 수 없는 네트워크를 통해 전송되지 않도록 주의해야 한다고 강조했다.
■ 함성윤 상무 “빅오 와이즈오스, RADIUS 프로토콜 취약점 문제 근본적 해결 가능해”
이번 RADIUS 프로토콜 취약점 문제로 인터뷰를 진행한 함성윤 빅오 상무는 “RADIUS는 1990년대 후반에 제정된 네트워크 프로토콜로, 암호화되지 않은 메시지 전송과 낮은 보안성의 메시지 무결성 검증 방식으로 인해 현재 보안 표준에 맞지 않는 취약점이다. 특히 최근 발표된 Blast RADIUS(CVE-2024-3596) 취약점은 RADIUS 프로토콜의 MD5 해시 충돌을 악용해 비인가 사용자가 네트워크에 접근할 수 있는 심각한 문제를 초래할 수 있다”며 빅오는 이 문제를 해결하기 위해 최근 네트워크 인증 시스템 ‘와이즈오스(WiseAuth)’를 출시하고 RADIUS 프로토콜의 취약점에 대응하기 위한 혁신적인 제품을 출시했다”고 밝혔다.
이를 해결하기 위해 IETF는 ‘다이아메터(DIAMETER)’라는 새로운 표준을 제정했으며, 이는 보다 안정적이고 신뢰할 수 있는 인증 메시지 전송을 가능하게 한다. 그러나 기존의 RADIUS 시스템을 전면적으로 교체하는 것은 현실적으로 어렵기 때문에, RadSec(RADIUS Security)이라는 확장된 표준을 통해 보안성을 강화할 수 있다.
함 상무는 “빅오의 WiseAuth는 DIAMETER 기반으로 설계되었으며, RADIUS와 RadSec을 모두 지원하는 제품이다. 이 시스템은 대규모 네트워크 환경에 적합하며, 기존 네트워크 장비를 교체하지 않고도 CVE-2024-3596 취약점을 방어할 수 있는 독자적인 기술을 적용했다. 이 기술은 현재 특허 출원 중이며, 이를 통해 고객들은 기존 RADIUS 환경에서도 보다 안전한 네트워크 보안을 구현할 수 있다”고 강조했다.
한편 빅오의 비즈니스 전략과 목표는 RADIUS 프로토콜 사용의 보안 취약성에 대한 인식을 높이고, 보다 안정적이고 신뢰할 수 있는 네트워크 인증 서비스를 제공하는 것이다. 또한 DIAMETER 기반 다중 요소 인증(MFA) 서비스를 내년 출시할 계획이며, 클라우드 네트워크 서비스에 최적화된 솔루션을 개발 중에 있다.
빅오는 이러한 기술력을 바탕으로 제로 트러스트 아키텍처를 구현하며, 네트워크 사용자와 디바이스를 지속적으로 검증하고 모니터링하는 환경을 제공할 계획이다. 이를 통해 클라우드와 네트워크 전반에서의 보안을 강화하는 것이 빅오의 최종 목표다.
빅오는 2017년에 설립된 이후, 글로벌 IT 인프라와 보안 제품을 국내 고객들에게 제공해 온 전문 기업이다. 주요 제품으로는 데이터 백업, 메일 아카이빙 솔루션뿐만 아니라 계정 관리, 권한 관리, 접근 제어, 액티브 디렉토리 보안 감사 솔루션 등이 있으며, 최근에는 클라우드 환경에 최적화된 통합 관리 솔루션과 보안 제품으로 사업 영역을 확장하고 있다. 또한 삼성생명, 만도, 두산, SK 등 30여 곳의 주요 고객사를 확보하고 있으며, 풍부한 경험과 기술력을 바탕으로 네트워크 인증 시스템 "와이즈오스"를 출시해 시장에서 주목받고 있다.
◆2024 인공지능 보안 컨퍼런스 AIS 2024 개최(보안교육 7시간 이수)◆
-인공지능 기반 보안기술과 보안위협 대응 정보 공유-
-공공, 금융, 기업 정보보호 담당자 700여명 참석예정-
-일 시: 2024년 11월 5일(화) 09:00~17:00
-장 소: 더케이호텔서울 2층 가야금홀
-주 최: 데일리시큐
-참석대상: 정부, 공공, 금융, 기업 정보보호 담당자만 참석 가능(보안과 관련없는 자는 참석 불가)
-참가기업 모집: 국내외 인공지능, 보안자동화 기반 보안전문기업
-참가문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com
-참석자 사전등록: 클릭
(사전등록 필수, IT보안 관계자만 참석가능)
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★