엔키화이트햇 “통제 항목 매핑만으론 한계, 계속 점검해야”

Source: Byline Network

기획/N²SF 전환⑧ N²SF 실증 3개 과제서 ‘공격자 관점’ 침투테스트로 보안성 점검

목차

1. 공공 보안 패러다임 대전환, N²SF
2. N²SF, 제로트러스트 아키텍처 품었다
3. N²SF 가이드라인 주 집필인이 본 공공 보안의 숙제 – 이철호 엔플러스랩 대표 인터뷰
4. N²SF 실증사례 : SGA솔루션즈 “뼈대인 컨설팅 단계가 핵심”
5. N²SF 실증사례 : 지니언스 “단말 검증에서 시작되는 N²SF”
6. N²SF 실증사례 : 모니터랩 “생성형 AI 쓰는 순간, 데이터는 통제 대상”
7. N²SF 실증사례 : 프라이빗테크놀로지 “현실에 맞는 단계적 적용 필요”
8. N²SF 실증사례 : 엔키화이트햇 “통제 항목 매핑만으론 한계, 계속 점검해야” (이번호)
9. N²SF가 나아갈 길 : 향후 과제

엔키화이트햇의 N²SF 실증 참여

엔키화이트햇은 지난해 진행된 국가망보안체계(N²SF) 시범 실증 3개 과제에 모두 참여해, 컨설팅·구축 결과물이 실제 공격 상황에서도 보안 통제를 유지하는지 침투테스트(모의해킹) 로 검증하는 역할을 맡았다. 참여한 과제는

• 범정부 초거대 인공지능(AI) 공통기반 실증
• 디지털플랫폼정부(DPG) 통합플랫폼 실증
• 공공기관 대상 실증

엔키화이트햇은 이번 실증을 “기능 동작 확인”이나 “취약점 나열”이 아니라, 공격자 관점에서 고등급(C·S) 데이터가 실제로 탈취될 수 있는지, 새로 도입된 보안 제품의 통제가 공격 과정에서도 무력화되지 않는지를 확인하는 데 초점을 두었다. 다만 기관별 진단 기간이 2일에서 1주일 안팎으로 제한돼, 전체 시나리오를 폭넓게 검증하기보다는 ‘신규 도입 솔루션이 공격 상황에서 통제를 유지하는지’ 를 중심으로 점검했다.

현장에서는 구축팀이 놓치기 쉬운 설정 오류나 우회 가능성을 찾아냈다. 예를 들어 초기 설정 미흡으로 관리자 페이지가 노출되거나, 사용자 단말에 보안 패치가 적용되지 않은 경우를 확인하고, 이를 국정원과 해당 기관에 보고해 보완이 이루어지도록 했다.

“설계·정책 적합성 점검은 기본이지만, 통합·연계 과정에서 생기는 결함이나 구현체 자체 취약점은 그 방식만으로 충분히 검증하기 어려운 면이 있었다.” – 엔키화이트햇 관계자

3개 과제에서 무엇을 점검했나

범정부 초거대 AI 공통기반 과제

• 데이터 흐름(프롬프트·검색증강생성(RAG)·기밀(C)·민감(S)·공개(O) 등급) 별 공격 가능성 점검
• 프롬프트 인젝션을 통한 시스템 프롬프트 탈취 시도
• 탈옥(Jailbreak) 등 우회 기법 테스트
• 웹 기반 취약점(권한 없이 채팅 기록 열람 등) 점검

DPG 통합플랫폼 과제

• C·S 등급 업무·데이터 구간에서 제로트러스트 기반 가상사설망(VPN) 클라이언트 우회 가능성 및 취약점 점검
• VPN 클라이언트 후킹을 통한 내부 로직 분석
• 클립보드 잠금·워터마킹·기본 보안 점검 등 통제 무력화 시험
• 연관 망 보안 통제 우회 후 내부 침투·권한 상승 시도
• 웹 메일·문서 중앙화 솔루션에서 문서 뷰어 권한 우회 및 관리자 권한 탈취 가능성 점검

공공기관 대상 N²SF 적용 과제

• C·S 등급 업무 환경에서 원격 브라우저 격리(RBI) 솔루션이 공격 상황에서도 통제 기능을 유지하는지 점검
• RBI 솔루션이 실제 공격 시나리오에서 우회되거나 무력화될 여지가 없는지 확인

“N²SF는 운영 단계에서 완성” … 점검 기간을 늘려야

엔키화이트햇은 신규 보안 체계는 설계 단계에서 식별되지 않은 위협이 구현·운영 단계에서 나타날 수 있다고 보고, ‘공격자 관점’ 의 지속 점검이 필수라고 강조한다. 현장 도입 단계에서 침투테스트를 최소 2주, 가능하면 1개월 안팎으로 수행할 필요가 있다.

제시된 두 가지 방향은 다음과 같다.

1. 발주기관·시스템 통합(SI) 사업자 주관 – 체계 전체 관점에서 시나리오 기반 침투테스트 수행
2. 솔루션 벤더 주관 – 제로트러스트·AI·문서보안 등 새로 도입되는 개별 솔루션 자체 안전성 검증 및 통합·연계 과정에서 발생할 수 있는 결함 집중 점검

“좋은 체계를 마련하는 것만큼, 운영 단계에서 공격자 시각의 피드백으로 보완하는 과정이 필수적이다.” – 엔키화이트햇 관계자