코로나19 확산 방지를 위해 기업들이 원격근무를 잇따라 적용하면서, 가상사설망(VPN) 이용도 함께 늘고 있다.
VPN은 암호화 기술을 사용해 사무실 밖에서도 업무 시스템에 안전하게 접근할 수 있도록 하고, 주고 받는 트래픽을 보호하는 보안 기술이다.
미국지디넷은 VPN을 사용하더라도 보안 관리에 소홀하면 데이터 유출의 위험에 노출될 수 있다는 보안업계 지적이 잇따르고 있다고 18일 보도했다.
■비정상 활동 계정, 적시 탐지해야
사이버보안 교육 기업 SANS 인스티튜트가 운영하는 인터넷 스톰 센터에서 활동하는 강사인 가이 브루노는 지난 15일 VPN을 안전하게 사용하는 방안에 대한 게시물을 게재했다.
브루노는 VPN 이용 로그를 살펴보면서 비정상적인 패턴을 찾고 탈취된 사용자 계정이 존재하는지 확인할 필요가 있다고 지적했다.
그는 향후 몇 주 간 오픈 VPN(1194)나 SSL VPN(TCP/UDP 443, IPsec/IKEv2 UDP 500/4500)과 연관된 포트들을 면밀히 조사할 필요가 있다고 조언했다.
■계정 탈취 막는 'MFA' 사용 필요
계정 탈취 공격으로부터 보호하기 위해 다중 인증(MFA) 솔루션 사용을 검토하라는 조언도 다수 제기됐다.
이같은 내용은 브루노의 게시글뿐만 아니라 뉴저지 주 정부 당국(NJCCIC)과 미국 국토안보부, 보안 기업인 라드웨어가 각각 발행한 코로나19 관련 사이버보안 안내문에서도 찾아볼 수 있다.
지난해 7월 마이크로소프트는 MFA를 적용하면 계정 탈취 공격의 99.9%를 차단할 수 있었다고 밝히기도 했다.
■VPN 서버 최신 상태 유지해야
미 국토안보부 산하 사이버보안 및 인프라 보안국과 라드웨어는 VPN 솔루션에 대한 최신 버전 업데이트가 적용 여부를 확인해야 한다는 조언도 내놨다.
VPN 솔루션이 지난해 여름부터 해커의 공격 대상이 됐다는 관측에서 나온 조언이다. 팔로알토네트웍스, 포티넷, 펄스시큐어, 시트릭스의 VPN 서버 공격에 악용할 수 있는 취약점들도 함께 언급했다.
■"1Mbps DDoS 공격으로도 VPN 서버 손상 가능"
최신 보안 패치가 이뤄지지 않은 VPN 서버는 해커의 공격에 취약하다. 보안 조치가 미비한 VPN 서비스의 경우 분산서비스거부(DDoS) 공격으로 가용성을 잃을 수도 있다는 관측도 나왔다. VPN 서버가 업무 시스템에 대한 입구 역할을 하는 상황에서 DDoS 공격으로 서버가 마비될 경우 업무 전체가 중단될 수 있다.
라드웨어는 VPN 서버를 노린 DDoS 공격의 경우 대규모가 아니어도 서비스 장애를 이끌어내기에 충분하다고 분석했다.
미국지디넷에 공유된 비공개 보고서에서 라드웨어 영업 엔지니어링 매니저 딜리프 미슈라는 1Mbps 수준의 DDoS 공격도 VPN 서버나 방화벽을 손상시킬 수 있다고 주장했다.
아울러 SSL 기반 VPN도 웹 서버와 마찬가지로 DDoS 공격에 취약하다고 덧붙였다.
DDoS는 원격근무 인력의 VPN 접근을 막을 가능성이 있다. 이는 해커가 업무 시스템을 공격하는 동안 보안 인력들이 적절한 대응을 취하지 못하는 결과로도 이어질 수 있다.
■VPN과 함께 쓰는 RDP·SaaS도 보안 신경 써야
관련기사
- 행안부 공무원은 어떻게 '원격근무' 할까2020.03.20
- 코로나19 때문에...원격근무 '보안' 수요 늘어2020.03.20
- "원격근무 성과 내려면 프로젝트 단위로 일해야"2020.03.20
- '코로나19 팬데믹' 대비 원격근무 4대 핵심전략2020.03.20
NJCCIC는 원격근무 인력이 클라우드와 서비스형 소프트웨어(SaaS)를 사용할 때 애플리케이션 보안에 유의하라고 권고했다. VPN으로 접근 가능한 범위를 최소화하고 다중 인증 도입을 권장했다. 승인된 장치만 원격으로 접근할 수 있는 네트워크접근제어(NAC) 솔루션도 고려하라고 언급했다.
라드웨어는 RDP에 대한 보안 조치 향상이 필요하다고 당부했다. 원격근무로 원격 데스크톱 프로토콜(RDP) 사용이 늘어나는 상황에서 RDP 엔드포인트와 계정에 대해 VPN 접근 계정과 마찬가지로 적절한 보호 조치가 필요하다는 취지다. 계정 탈취 공격을 신속히 감지하기 위해 로그인 실패 횟수, 로그인에 실패한 계정명 개수, 로그인 실패 후 로그인에 성공한 시점, 누적된 외부 IP 개수 등을 조사할 것을 권장했다.