aIR-Jumper: exfiltran datos de redes air-gap vía cámaras IR

개요

aIR-Jumper는 CCTV 카메라의 IR LED를 이용하여 인간의 눈으로는 감지할 수 없는 방식으로 air-gap 네트워크에서 데이터를 외부로 빼내거나 내부로 주입하는 기술입니다.

주요 내용

* Air-gap 네트워크의 취약점: 수십 년간 최상의 보안 표준으로 여겨져 온 air-gap 네트워크(물리적으로 완전히 격리된 네트워크)가 CCTV 카메라의 IR LED를 통해 데이터 유출에 취약해질 수 있습니다.
* aIR-Jumper 공격 방식:
* 데이터 exfiltration (유출): air-gap 네트워크 내부의 악성 코드가 CCTV 카메라의 IR LED를 제어하여 ON/OFF 패턴으로 데이터를 변조합니다. 외부의 공격자는 IR 감지 카메라로 이 패턴을 촬영하여 데이터를 복원합니다.
* 데이터 infiltration (주입): 외부 공격자가 강력한 IR 광원을 CCTV 카메라를 향해 비춥니다. 내부의 악성 코드는 카메라가 감지한 IR 펄스를 해석하여 명령어로 실행합니다.
* IR LED의 활용: CCTV 카메라의 야간 투시 기능에 사용되는 IR LED는 인간에게 보이지 않는 빛을 내며, 이를 빠르게 ON/OFF 하거나 밝기를 조절하여 이진 데이터를 코딩하는 데 사용될 수 있습니다.
* 공격 속도 및 거리: exfiltration은 초당 20~100 bps, infiltration은 수백 bps의 속도를 가지며, 수십 미터에서 수백 미터 거리에서도 작동합니다.
* 과거 공격과의 차별점: aIR-Jumper는 공격 대상 시스템에 대한 사전 침투(악성 코드 설치)가 필요하지만, 물리적 보안을 위해 설치된 CCTV 카메라라는 일상적인 하드웨어를 이용하여 기존의 air-gap 개념을 뒤집는다는 점에서 차별화됩니다.
* 기존 채널들과의 연계: aIR-Jumper는 모니터, 하드 드라이브 LED, 팬 소음, 열, RAM 주파수, USB 방사능 등 다양한 물리적 신호를 이용하는 기존의 air-gap 데이터 유출 연구와 함께 air-gap의 절대적이지 않음을 보여줍니다.
* 방어 대책: IR LED 차폐, 카메라 외부 시야 제한, IR LED 없는 카메라 사용, 내부 카메라 네트워크 트래픽 모니터링, 민감 데이터 시스템과 CCTV 서브넷 분리, 환경 IR 방출 감지기 설치 등이 제시되었습니다.

시사점

aIR-Jumper는 air-gap 네트워크가 물리적 격리만으로는 완전한 보안을 보장할 수 없으며, 감시 카메라와 같은 물리적 장치의 예상치 못한 방식으로도 데이터 유출이 가능하다는 점을 시사하며, 이에 대한 새로운 보안 전략 수립의 필요성을 강조합니다.