코로나19 감염 예방을 목적으로 기업, 기관들이 원격근무를 신속히 도입한 이후 원격근무와 연관된 해킹 피해가 속출하고 있다. 원격근무 체제에서 유념해야 할 보안 위협을 충분히 고려하지 못한 채로 원격근무 인프라가 도입되면서, 보안 허점들이 해커들의 공격 수단으로 악용되는 상황이다.
5일 보안업계에 따르면 가상사설망(VPN), 업무용 SW 등 원격근무에 사용되는 IT 인프라에 대한 사이버공격이 이어지고 있다.
지난 2일 카세야는 자사 원격 모니터링·관리 소프트웨어(SW) 'VSA'의 취약점을 악용한 사이버공격이 발생하고 있다고 발표했다.
카세야에 따르면 이번 공격은 해당 SW를 사용하는 고객사 전반을 노린 공급망 공격의 형태를 띄고 있다. 업데이트 파일에 랜섬웨어를 포함해 유포한 것. 상황이 이렇자 지난 3일 한국인터넷진흥원(KISA)도 카세야 VSA에 대한 사용 중단 권고를 내렸다.
카세야는 40곳 미만의 고객사가 이번 공격의 영향을 받았다고 밝혔다. 그러나 감염된 고객사 중 매니지드서비스제공자(MSP)인 기업이 포함돼 있는 점을 고려하면 수천곳 이상의 기업이 이번 공격의 영향을 받을 수 있다는 분석이 제기되고 있다.
국내 공공기관 피해 사례도 눈에 띈다. 한국원자력연구원에 따르면 지난 5월14일 외부인이 VPN 취약점을 이용해 원자력연 내부 시스템에 비인가 접속한 사실이 확인됐다. 이후 지난달 16일 한국항공우주산업(KAI)도 같은 수법의 해킹 피해를 입은 것으로 알려졌다.
이런 해킹 동향은 그간의 보안업계 분석과 크게 다르지 않다. 업계는 해커들이 원격근무 환경을 주 공격 대상으로 노리고 있다는 분석을 지속적으로 발표해왔다.
체크포인트는 아시아태평양 지역 사이버공격이 지난 4, 5월간 53% 증가했다며, 원격근무 도입이 확대되는 점을 주요 원인으로 지적했다.
트렌드마이크로는 작년 원격근무 환경을 대상으로 한 사이버공격이 전년보다 210% 늘어난 29억건을 기록했다며, 홈네트워크와 원격 작업용 SW 및 클라우드 앱에 대한 위협을 올해 주요 보안 위협 요소로 꼽기도 했다.
국내 보안 기업 ADT캡스는 올해 상반기 보안 트렌드 보고서에서 원격근무 환경 대상 공격에 대해 주목했다. 회사 보안 전문가 그룹 EQST는 "원격근무를 위해 도입한 SW의 제로데이 취약점을 악용해 제어권을 획득하는 공격에 유의해야 한다"며 "회사 주요 시스템에 접근한 뒤 탈취한 정보를 판매하는 2차 공격까지 가할 수 있다"고 언급했다.
특히 공유 오피스를 비롯한 공공 장소에서 발생할 수 있는 공유기 해킹을 통한 중요 정보 탈취 공격과, 클라우드 서비스 사용 시 서드파티 업체를 경유한 해킹에 유의해야 한다고 당부했다.
공격 예방을 위해 사용자 단에선 습관적인 SW 업데이트 및 보안 설정 점검을, 기업 단에서는 ▲이중 인증체계 구축 ▲사용자 권한 관리 강화 ▲암호화 통신 도입 ▲안전한 초기 보안 설정 ▲네트워크 모니터링 ▲클라우드 구성 점검 등을 조언했다.
이에 대해 ADT캡스 인포섹 관계자는 “단순히 기기 속 개인정보를 탈취하는 것에 그치지 않고, 기업 내부 시스템 침투를 목표로 삼기 때문에 개인과 기업 모두의 보안 의식 제고가 필요하다”며 “보안성 검증 컨설팅이나 비대면 서비스 환경의 모의 해킹, 취약점 진단 등을 통해 기업의 특성에 맞는 맞춤형 보안 전략을 세워야 한다”고 강조했다.