2020.03.19

재택근무자를 보호하기 위한 8가지 주요 보안 사항

Susan Bradley | CSO
코로나19의 세계적 대유행(펜데믹)으로 인해, 회사에서 갑자기 모든 직원에게 앞으로 2~3주 동안 재택근무를 지시하는 경우가 많다. 무엇이 잘못될 수 있을까? 재택근무중인 직원이 회사에 끼칠 수 있는 위험은 없을까? 재택근무를 안전하게 하기 위해 즉시 취해야 할 조치 8가지를 소개한다.

재택근무자에게 필요한 엔드포인트 보호 소프트웨어 결정하기
회사 사무실에는 콘솔이 있고 모든 워크스테이션을 관리할 수 있지만 직원의 집에 있는 컴퓨터에 대해 동일한 수준의 제어를 할 수 있는 권한은 없다. 그러나 윈도우 10에 포함된 윈도우 디펜더(Windows Defender)는 원격 컴퓨터에 더욱 적합한 안티바이러스 도구다.

맥킨토시를 사용하는 재택근무자 역시 엔드포인트 보호 소프트웨어를 사용해야 한다. 맥 사용자 10명 가운데 1명은 슐레이어(Shlayer) 트로이 바이러스의 공격을 받았다.

모든 재택근무 직원이 회사의 자원에 액세스하는 컴퓨터에 안티바이러스 소프트웨어를 사용해야 한다는 정책을 실행해야 한다. 워크스테이션을 모니터하기 위해 클라우드 기반 대체 수단을 배치해야 할지를 고려한다. 현재 사용중인 지원 콘솔 도구가 무엇인지, 그리고 도메인에 속하지 않은 컴퓨터에 액세스하는데 필요한 라이선스를 검토한다. 스플래시탑 SOS(Splashtop SOS)나 로그메인레스큐(LogmeinRescue)와 같은 도구를 신속하게 설정해 IT 팀이 직원의 집에 있는 컴퓨터에 원격으로 액세스해 원격 액세스 설정을 지원할 수 있다.

재택근무자에게 필요한 소프트웨어 검토하기
오피스 365 구독자의 경우, 일부 라이선스에서는 최대 5대의 PC 또는 맥, 태블릿, 스마트폰에 오피스 스위트를 설치할 수 있다. 볼륨 라이선스가 있으면 오피스를 직원이 가정에서 사용하도록 구매할 수 있다. 플랫폼이나 현재 라이선스가 부여된 오피스 버전에 따라 옵션과 라이선스 대안을 검토해야 할 수도 있다.

재택근무자의 컴퓨터가 아직 회사의 통제하에 있지 않은 경우, 관리 및 모니터링 기능을 추가할 수 있다. 현재 안티바이러스 업체에 어떤 옵션이 있는지 검토하고, 재택근무자의 컴퓨터를 원격으로 쉽게 관리할 수 있는 클라우드 콘솔을 제공하는지 확인한다. 또는 오피스 365가 있는 경우 적절한 라이선스로 인튠(Intune)을 사용할 수 있다. 마지막으로, 자사의 컨설턴트에게 문의한다. 기업의 네트워크를 원격으로 관리하기 위해 사용하는 화면 연결 소프트웨어를 사용해 임시 라이선스를 제공할 수 있다.

마이크로소프트는 사용자가 원격으로 더 나은 작업을 할 수 있도록 팀즈(Teams) 사용을 6개월간 무료로 제공하고 있다. 또한 애저의 윈도우 버추얼 데스크톱(Windows Virtual Desktop)을 오피스 365 프로 플러스와 결합해 재택근무자에게 추가 자원을 제공할 수 있다.

재택근무에 익숙하지 않은 사용자가 팀즈를 사용하는 경우, 개인정보보호 정책을 검토하고 직원과의 정보 교류를 보호해야 할 수 있다. 예를 들어 영상통화 중에 사용자가 무심코 정보를 노출할 수 있다. 문서의 올바른 취급과 직원과의 민감한 커뮤니케이션을 검토한다. 커뮤니케이션, 복지 점검, 프로세스에 필요한 장비 검토를 포함해 재택근무를 어떻게 다룰지에 대한 전반적인 지침을 제공하는 것이 좋다.

원격 액세스로 인해 더 많은 위험이 발생하지 않도록 한다
원격 액세스 서버, 윈도우 10 버추얼 데스크톱 또는 기타 원격 기술을 갑자기 설정하고 라이선스를 부여해야 할 수도 있다. 라이선스 및 보안 위험 측면에서 더 많은 위험을 유발할 수 있는 결정을 내리면 안된다. 원격 액세스 서비스를 포함하는 원격 액세스의 경우, 랜섬웨어 공격자가 포트 3389에서 응답하는 모든 것을 대상으로 개방 RDP 서버를 보고 스캔할 수 있다는 점을 기억해야 한다. TS그라인더(TSgrinder)가 모든 포트에서 RDP 응답을 검색하므로 RDP를 다른 포트로 이동하면 안된다.

위험과 결과를 제대로 생각하지 않고 원격 액세스 포트를 무턱대고 열면 안된다. 원격 액세스를 열어야 하는 경우, IT 관리자가 원격으로 액세스할 특정 고정 IP 주소에만 응답하도록 방화벽이 구성돼 있는지 확인한다.

이중 인증(2FA) 구현하기
더 많은 원격 액세스 솔루션을 추가할 경우, 원격 액세스 솔루션에 2FA(two-factor authentication)를 추가하는 것이 좋다. 기존 온프레미스 원격 액세스 솔루션에 듀오닷컴(DUO.com)과 같은 2FA 솔루션을 쉽게 추가할 수 있다. 듀오닷컴은 RD게이트웨이(RDGateway)와 원격 웹 액세스(Remote Web Access) 솔루션에 2FA를 추가할 수 있다. 기업이 직원을 재택근무로 신속하게 전환해야 할 경우에도, 관리자와 사용자만 원격 액세스를 허용하고 공격자는 제외할 수 있다.

가상 사설망(VPN) 이용하기
최근 VPN 소프트웨어에는 몇 가지 중요한 취약점이 있다. 수년 동안 업데이트되지 않은 클라이언트의 워크스테이션에서는 이전 버전의 VPN 소프트웨어가 남아있는 경우가 많다. VPN 솔루션을 제공하는 서버나 방화벽, 또는 재택근무자의 데스크톱 모두에서 VPN 솔루션이 최신 버전인지 확인한다.

방화벽, 조건부 액세스 정책과 기타 로깅에 대한 영향 평가하기
기업에서 로컬 데스크톱과 노트북에서 서버 자원으로 들어오는 트래픽을 확인하는 SIEM(Security Information and Event Management) 로깅 솔루션이 있을 수 있다. 전체 직원의 트래픽이 다양한 IP 주소에서 갑자기 들어오는 경우, 기업의 로깅 플랫폼 데이터는 더 이상 “정상”이 아니다.

방화벽에서 지오블로킹(geoblocking)을 사용해 다양한 위치에서의 액세스를 제한하는 기업은 자사 직원이 다양한 위치에서 액세스할 것이라는 점을 감안해 해당 정책을 검토하고 수정해야 한다. 기업에 대한 인바운드 트래픽을 위해 인터넷 대역폭을 늘려야할 수도 있다. 클라우드 서비스에 의존하는 기업의 경우, 재택근무자가 오피스 작업과 화상회의를 지원하기에 적절한 대역폭을 갖고 있는지 진단하고 결정해야 할 수도 있다.

또한 소비자 방화벽과 인터넷 업체의 보안 설정이 의도한 원격 액세스를 일부 차단하는 것을 발견할 수 있다. 예를 들어, 컴캐스트의 고급 인터넷 보안은 포트 443을 통한 RD게이트웨이의 사용을 차단한다. 그러므로 연결 로그를 검토하고, 원격 사용자로부터 보안 로그를 가져오고, 헬프 데스크에 더 많은 자원을 추가해 사용자의 원격 연결을 도와야 한다.

코로나 19 사기 방지를 위한 직원 교육이 필요
NCA(National Cyber Awareness) 시스템은 유포되고 있는 코로나 19 사기에 대해 경고했다. 직원이 요청하지 않은 이메일을 클릭하지 않고 공식 웹사이트만 사용하도록 촉구한다. 특히 누군가의 컴퓨터가 감염된 경우, 전 직원이 공식 알람을 받을 수 있는 온라인 커뮤니케이션 방법이 있는지 확인한다.

직원이 수용할 수 있는 사용 정책 업데이트
마지막으로, 허용되는 컴퓨터 사용 정책에 재택근무자의 가정에 있는 컴퓨터를 포함한다. 아직 하지 않았다면, 재택근무자의 컴퓨터가 원격 액세스를 할 수 있도록 서둘러야 한다. 기업의 변호사, 세무사와 상의해 직원 가정에서의 컴퓨터와 개인 전화 사용에 대한 보상이 필요한지 확인해야 한다.


미래를 위한 계획

전세계적으로 코로나 19가 확산 추세이고 언제 끝날지 모르는 불확실성 때문에 스트레스가 많은 시기지만, 기업이 비상사태와 재택근무자의 요구에 얼마나 준비가 돼 있는지를 알 수 있는 좋은 시기이기도 하다. 모든 직원에게 재택근무를 지시하지 않더라도, 어디에서 일할지, 얼마나 잘 해낼 수 있을지에 대해 생각해보자. CIS 텔레워크(CIS Telework)와 중소기업 네트워크 보안 가이드(Small Office Network Security Guide)를 참고해 모니터링해야 할 다른 보안 문제가 있는지 확인한다. editor@itworld.co.kr  


2020.03.19

재택근무자를 보호하기 위한 8가지 주요 보안 사항

Susan Bradley | CSO
코로나19의 세계적 대유행(펜데믹)으로 인해, 회사에서 갑자기 모든 직원에게 앞으로 2~3주 동안 재택근무를 지시하는 경우가 많다. 무엇이 잘못될 수 있을까? 재택근무중인 직원이 회사에 끼칠 수 있는 위험은 없을까? 재택근무를 안전하게 하기 위해 즉시 취해야 할 조치 8가지를 소개한다.

재택근무자에게 필요한 엔드포인트 보호 소프트웨어 결정하기
회사 사무실에는 콘솔이 있고 모든 워크스테이션을 관리할 수 있지만 직원의 집에 있는 컴퓨터에 대해 동일한 수준의 제어를 할 수 있는 권한은 없다. 그러나 윈도우 10에 포함된 윈도우 디펜더(Windows Defender)는 원격 컴퓨터에 더욱 적합한 안티바이러스 도구다.

맥킨토시를 사용하는 재택근무자 역시 엔드포인트 보호 소프트웨어를 사용해야 한다. 맥 사용자 10명 가운데 1명은 슐레이어(Shlayer) 트로이 바이러스의 공격을 받았다.

모든 재택근무 직원이 회사의 자원에 액세스하는 컴퓨터에 안티바이러스 소프트웨어를 사용해야 한다는 정책을 실행해야 한다. 워크스테이션을 모니터하기 위해 클라우드 기반 대체 수단을 배치해야 할지를 고려한다. 현재 사용중인 지원 콘솔 도구가 무엇인지, 그리고 도메인에 속하지 않은 컴퓨터에 액세스하는데 필요한 라이선스를 검토한다. 스플래시탑 SOS(Splashtop SOS)나 로그메인레스큐(LogmeinRescue)와 같은 도구를 신속하게 설정해 IT 팀이 직원의 집에 있는 컴퓨터에 원격으로 액세스해 원격 액세스 설정을 지원할 수 있다.

재택근무자에게 필요한 소프트웨어 검토하기
오피스 365 구독자의 경우, 일부 라이선스에서는 최대 5대의 PC 또는 맥, 태블릿, 스마트폰에 오피스 스위트를 설치할 수 있다. 볼륨 라이선스가 있으면 오피스를 직원이 가정에서 사용하도록 구매할 수 있다. 플랫폼이나 현재 라이선스가 부여된 오피스 버전에 따라 옵션과 라이선스 대안을 검토해야 할 수도 있다.

재택근무자의 컴퓨터가 아직 회사의 통제하에 있지 않은 경우, 관리 및 모니터링 기능을 추가할 수 있다. 현재 안티바이러스 업체에 어떤 옵션이 있는지 검토하고, 재택근무자의 컴퓨터를 원격으로 쉽게 관리할 수 있는 클라우드 콘솔을 제공하는지 확인한다. 또는 오피스 365가 있는 경우 적절한 라이선스로 인튠(Intune)을 사용할 수 있다. 마지막으로, 자사의 컨설턴트에게 문의한다. 기업의 네트워크를 원격으로 관리하기 위해 사용하는 화면 연결 소프트웨어를 사용해 임시 라이선스를 제공할 수 있다.

마이크로소프트는 사용자가 원격으로 더 나은 작업을 할 수 있도록 팀즈(Teams) 사용을 6개월간 무료로 제공하고 있다. 또한 애저의 윈도우 버추얼 데스크톱(Windows Virtual Desktop)을 오피스 365 프로 플러스와 결합해 재택근무자에게 추가 자원을 제공할 수 있다.

재택근무에 익숙하지 않은 사용자가 팀즈를 사용하는 경우, 개인정보보호 정책을 검토하고 직원과의 정보 교류를 보호해야 할 수 있다. 예를 들어 영상통화 중에 사용자가 무심코 정보를 노출할 수 있다. 문서의 올바른 취급과 직원과의 민감한 커뮤니케이션을 검토한다. 커뮤니케이션, 복지 점검, 프로세스에 필요한 장비 검토를 포함해 재택근무를 어떻게 다룰지에 대한 전반적인 지침을 제공하는 것이 좋다.

원격 액세스로 인해 더 많은 위험이 발생하지 않도록 한다
원격 액세스 서버, 윈도우 10 버추얼 데스크톱 또는 기타 원격 기술을 갑자기 설정하고 라이선스를 부여해야 할 수도 있다. 라이선스 및 보안 위험 측면에서 더 많은 위험을 유발할 수 있는 결정을 내리면 안된다. 원격 액세스 서비스를 포함하는 원격 액세스의 경우, 랜섬웨어 공격자가 포트 3389에서 응답하는 모든 것을 대상으로 개방 RDP 서버를 보고 스캔할 수 있다는 점을 기억해야 한다. TS그라인더(TSgrinder)가 모든 포트에서 RDP 응답을 검색하므로 RDP를 다른 포트로 이동하면 안된다.

위험과 결과를 제대로 생각하지 않고 원격 액세스 포트를 무턱대고 열면 안된다. 원격 액세스를 열어야 하는 경우, IT 관리자가 원격으로 액세스할 특정 고정 IP 주소에만 응답하도록 방화벽이 구성돼 있는지 확인한다.

이중 인증(2FA) 구현하기
더 많은 원격 액세스 솔루션을 추가할 경우, 원격 액세스 솔루션에 2FA(two-factor authentication)를 추가하는 것이 좋다. 기존 온프레미스 원격 액세스 솔루션에 듀오닷컴(DUO.com)과 같은 2FA 솔루션을 쉽게 추가할 수 있다. 듀오닷컴은 RD게이트웨이(RDGateway)와 원격 웹 액세스(Remote Web Access) 솔루션에 2FA를 추가할 수 있다. 기업이 직원을 재택근무로 신속하게 전환해야 할 경우에도, 관리자와 사용자만 원격 액세스를 허용하고 공격자는 제외할 수 있다.

가상 사설망(VPN) 이용하기
최근 VPN 소프트웨어에는 몇 가지 중요한 취약점이 있다. 수년 동안 업데이트되지 않은 클라이언트의 워크스테이션에서는 이전 버전의 VPN 소프트웨어가 남아있는 경우가 많다. VPN 솔루션을 제공하는 서버나 방화벽, 또는 재택근무자의 데스크톱 모두에서 VPN 솔루션이 최신 버전인지 확인한다.

방화벽, 조건부 액세스 정책과 기타 로깅에 대한 영향 평가하기
기업에서 로컬 데스크톱과 노트북에서 서버 자원으로 들어오는 트래픽을 확인하는 SIEM(Security Information and Event Management) 로깅 솔루션이 있을 수 있다. 전체 직원의 트래픽이 다양한 IP 주소에서 갑자기 들어오는 경우, 기업의 로깅 플랫폼 데이터는 더 이상 “정상”이 아니다.

방화벽에서 지오블로킹(geoblocking)을 사용해 다양한 위치에서의 액세스를 제한하는 기업은 자사 직원이 다양한 위치에서 액세스할 것이라는 점을 감안해 해당 정책을 검토하고 수정해야 한다. 기업에 대한 인바운드 트래픽을 위해 인터넷 대역폭을 늘려야할 수도 있다. 클라우드 서비스에 의존하는 기업의 경우, 재택근무자가 오피스 작업과 화상회의를 지원하기에 적절한 대역폭을 갖고 있는지 진단하고 결정해야 할 수도 있다.

또한 소비자 방화벽과 인터넷 업체의 보안 설정이 의도한 원격 액세스를 일부 차단하는 것을 발견할 수 있다. 예를 들어, 컴캐스트의 고급 인터넷 보안은 포트 443을 통한 RD게이트웨이의 사용을 차단한다. 그러므로 연결 로그를 검토하고, 원격 사용자로부터 보안 로그를 가져오고, 헬프 데스크에 더 많은 자원을 추가해 사용자의 원격 연결을 도와야 한다.

코로나 19 사기 방지를 위한 직원 교육이 필요
NCA(National Cyber Awareness) 시스템은 유포되고 있는 코로나 19 사기에 대해 경고했다. 직원이 요청하지 않은 이메일을 클릭하지 않고 공식 웹사이트만 사용하도록 촉구한다. 특히 누군가의 컴퓨터가 감염된 경우, 전 직원이 공식 알람을 받을 수 있는 온라인 커뮤니케이션 방법이 있는지 확인한다.

직원이 수용할 수 있는 사용 정책 업데이트
마지막으로, 허용되는 컴퓨터 사용 정책에 재택근무자의 가정에 있는 컴퓨터를 포함한다. 아직 하지 않았다면, 재택근무자의 컴퓨터가 원격 액세스를 할 수 있도록 서둘러야 한다. 기업의 변호사, 세무사와 상의해 직원 가정에서의 컴퓨터와 개인 전화 사용에 대한 보상이 필요한지 확인해야 한다.


미래를 위한 계획

전세계적으로 코로나 19가 확산 추세이고 언제 끝날지 모르는 불확실성 때문에 스트레스가 많은 시기지만, 기업이 비상사태와 재택근무자의 요구에 얼마나 준비가 돼 있는지를 알 수 있는 좋은 시기이기도 하다. 모든 직원에게 재택근무를 지시하지 않더라도, 어디에서 일할지, 얼마나 잘 해낼 수 있을지에 대해 생각해보자. CIS 텔레워크(CIS Telework)와 중소기업 네트워크 보안 가이드(Small Office Network Security Guide)를 참고해 모니터링해야 할 다른 보안 문제가 있는지 확인한다. editor@itworld.co.kr  


X