IT 부서는 빈약한 VPN 인프라, 부족한 대역폭, 직원이 집으로 가져갈 수 있는 기기의 부족 등에 시달리면서도 현재 상황이 생산성에 미치는 영향을 줄이고 직원이 업무 수행을 위해 필요한 회사 리소스와 애플리케이션에 액세스할 수 있도록 하기 위해 동분서주하고 있다.
그러나 최대한 신속하게 원격 근무 환경을 구축하라는 경영진의 강한 압박은 IT 부서가 지름길을 선택해 기존 보안 정책과 관행을 무시하는 결과로 이어져 이는 장기적으로 비즈니스 연속성 측면에서 큰 문제를 야기할 수 있다.
공격자가 노출된 서비스 또는 원격 직원의 개인 기기를 통해 회사의 프라이빗 네트워크에 대한 액세스 권한을 획득한 다음, 횡적으로 이동하면서 랜섬웨어로 내부 서버를 감염시키는 경우 발생할 피해를 상상해 보자. 게다가 IT 팀과 보안 팀도 원격으로 작업하고 있어 현장에서 직접 문제를 해결할 수도 없는 상황이다.
포레스터에서 보안 및 위험 전문가를 위한 정보를 제공하는 수석 분석가 체이스 커닝햄은 이런 상황에서 복구하기는 극히 어렵다면서 “한 사람의 액세스 권한이 순식간에 인프라 전체의 파괴로 이어지는 시나리오”라고 말했다.
원격 근무자를 향한 공격 심화
과거에는 기업이 원격 데스크톱 프로토콜(RDP) 서비스를 인터넷에 직접적으로 노출하고 이런 서비스가 해킹되어 사이버 범죄의 진입점으로 사용되는 경우가 많았다. 좋지 않은 소식이지만 코로나19 사태를 맞은 지금 사람들이 원격 액세스를 위해 지름길을 택하는 추세가 나타나면서 안전하지 않은 서비스 및 방화벽 구성으로 인한 사고도 증가할 가능성이 높다.최근 비트디펜더(Bitdefender)의 연구진은 인증 정보를 훔치는 트로이목마인 트릭봇(TrickBot)에 감염된 컴퓨터를 사용해 RDP 무차별 대입 공격을 실행하는 새로운 모듈이 추가됐다고 경고했다.
연구진이 확인한 공격 대상 목록에는 미국과 홍콩의 여러 통신, 교육, 금융 서비스 부문 기업이 올라 있다. 트릭봇에는 원격 액세스에 일반적으로 사용되는 오픈SSH와 오픈VPN 인증 정보를 훔치는 모듈도 있다. 이 모듈은 교묘한 류크(Ryuk) 랜섬웨어의 전달 플랫폼으로도 알려져 있다.
전문가들은 현재 많은 기업 직원이 회사 네트워크의 보호 영역을 벗어난 외부에서 보안이 취약한 개인용 기기를 사용해 회사 리소스에 액세스하고 있는 만큼, 이 기회를 포착하려는 공격자의 공격이 앞으로 더 심화될 것으로 예상했다.
IEEE 선임 구성원이자 울스터 대학 사이버보안 학부 교수인 케빈 커랜은 범죄자는 항상 상황에 대응하고 지속적으로 더 효과적인 기법을 개발한다고 말했다. 지금은 많은 사람이 방화벽, 경고문, 절차, 의무적인 특정 운영체제 또는 소프트웨어 업데이트에 의해 보호되는 환경에서 벗어나 있다. 커랜은 이들이 지금 사용하는 개인용 노트북 중에는 윈도우 XP가 설치된 경우도 있을 것이라고 말했다.
제로 트러스트 진입하기
이런 보안 문제를 방지하고 위험을 제한할 수 있는 방법 중 하나는 제로 트러스트(zero trust) 보안 모델을 도입하는 것이다. 제로 트러스트 보안 모델에서는 레거시를 포함한 비즈니스 애플리케이션에 대한 액세스가 안전한 웹 기반 게이트웨이를 통해, 최소 권한 원칙에 따라 이뤄지며 다중 요소 인증(MFA)과 기기 보안 검사가 지원된다.이런 시스템은 부가적인 인프라 비용 없이 VPN보다 더 확장성이 높고 기존 싱글사인온(SSO) 플랫폼과 손쉽게 통합되며 누가, 어느 디바이스에서 무엇에 액세스할 수 있는지를 정의하는 더 세분화된 액세스 제어 정책을 구현할 수 있게 해준다.
좋은 소식은 이 분야의 업체 일부가 코로나19 사태에 대응해 무료 평가 기간을 늘려 제공한다는 것이다. 콘텐츠 제공업체인 아카마이(Akamai)는 비즈니스 연속성 지원 프로그램(Business Continuity Assistance Program)의 일부로 EAA(Enterprise Application Access) 솔루션에 대한 무료 60일 사용 기간을 제공한다.
클라우드플레어(Cloudflare)는 중소 기업을 대상으로 팀용 클라우드플레어(Cloudflare for Teams) 제품을 6개월 간 무료 사용 서비스를 제공한다. 이 제품에는 내부 앱에 대한 제로 트러스트 액세스를 위한 클라우드플레어 액세스(Cloudflare Access), DNS 필터링과 네트워크 모니터링을 위한 클라우드플레어 게이트웨이(Cloudflare Gateway)가 포함된다. 시스코의 듀오 시큐리티(Duo Security)도 신규 고객에게 제로 트러스트 및 MFA 플랫폼에 대한 무료 라이선스를 제공한다.
커닝햄은 “그동안 원격 근무를 정당화할 이유를 찾아온 비즈니스 리더들이 이제 원격 근무를 해야 할 상황에 직면했다”면서, “그러나 현실을 보면 VPN은 이 정도 규모에서는 사용할 수 없으므로 제로 트러스트 액세스를 이용해야 하며, 최소한 파일럿 프로젝트라도 진행해 어떤 결과를 얻게 되는지 파악해야 한다. 단순히 앞으로 2~3개월만 해서 끝날 일은 아니다. 원격 근무는 미래의 업무 환경이며, 지금 다양한 상황에서 무료로 이 기술을 테스트하고 확장해 나갈 기회가 온 것이다. 나라면 최대한 빨리 뛰어들어 기회를 잡을 것”이라고 말했다.
제로 트러스트 모델 인기 상승
이번 위기가 닥치기 전에도 많은 기업이 제로 트러스트 네트워크 보안 모델로의 전환을 고려하고 있었다. 100개의 중소기업과 포천 500대 기업의 IT 관리자를 대상으로 한 최근 발표된 설문 결과를 보면 31%는 제로 트러스트 모델을 고려 중이며 19%는 도입 중이고 8%는 이미 조직에서 구현했다.기업 네트워크 전체에 제로 트러스트 보안을 구축하는 것은 쉬운 일이 아니다. 파일럿 프로그램, 측정값 수집, 액세스 정책 조정, 다양한 제품의 원활한 통합, 내부 데이터 플로우 변경, 직원 교육이 포함된 단계별 접근이 필요하다. 그러나 기업은 지금 원격 액세스 부분부터 시작, 확장해 나갈 수 있다.
커랜은 “1년 전에 나에게 ‘만일 팬데믹이 발생해 회사가 몇 주 이내에 운영 모델을 전환해야 한다면 제로 트러스트 네트워크를 구현할 수 있는가?’라고 물었다면 ‘그건 불가능하다’고 대답했을 것이다. 그러나 요즘의 클라우드 기반 시스템은 빠른 시간 내에 절반의 제로 트러스트 네트워크로 가기 위한 가장 확실한 방법이다. 완전한 제로 트러스트 네트워크라고 할 수는 없지만 상당히 효과적”이라고 말했다.
커랜은 이어 “기업에 실제로 이 방법을 권고하고 싶다. 여러가지 면에서 사실상 제로 트러스트 네트워크를 구축하기 위한 시작 지점이 특권 액세스 관리이기 때문이다. 나중에 다른 요소를 붙여 확장할 수 있다. 어느 정도의 정책 변경과 교육이 필요하지만 우수한 시스템이고 VPN보다 강력하다”라고 말했다.
제로 트러스트로의 전환에 대한 조언
기업은 액세스 정책을 수립할 때 직원에게 지급하는 기기와 일부 직원이 회사 애플리케이션에 액세스하는 데 사용할 수 있는 개인용 기기를 명확히 구분해야 한다. BYOD 상황에서 기업이 해야 할 일은 직원의 개인용 기기에 MDM(Mobile Device Management) 솔루션을 설치하도록 요구하는 것이다.클라우드 기반의 제로 트러스트 액세스 게이트웨이(zero-trust access gateways)는 일반적으로 브라우저를 통해 기기를 연결할 때 운영체제와 기타 소프트웨어의 패치 상태를 확인하는 등 몇 가지 보안 검사를 수행하지만, 특히 지금과 같은 강제적 재택근무 상황이 수개월 동안 지속될 경우에는 이것만으로는 충분하지 않을 수 있다. 기기가 모니터링되지 않는 상태로 유지되는 기간이 길수록 침해의 가능성도 높아진다.
커닝햄은 “이상적인 최종 지점은 시스템에 에이전트가 위치해 실질적인 조치를 취할 수 있는 단계지만, 현재로서는 최적의 상태를 달성하는 것보다는 당장 불이 번지는 것을 막거나 억제하는 것이 우선이다. 아직 최적을 추구할 준비까지는 되지 않았고 ‘사람들이 계속 일할 수 있도록 하고 경제가 계속 굴러가도록 하는’ 정도의 준비만 된 상황”이라고 말했다.
지금과 같은 강제 재택근무 상황에 앞서 일부라도 원격 근무자를 운영했던 기업은 이미 MDM 솔루션을 사용 중일 가능성이 높다. 이 경우 MDM 공급업체에 연락해 추가 라이선스만 구입하면 된다.
레거시 앱은 가상화된 환경 또는 컨테이너에서 실행해야 하며, 침해되더라도 공격자가 이를 지렛대 삼아 횡적으로 이동해 인프라의 나머지 부분을 침해하지 못하도록 네트워크의 나머지 부분과 분리되어야 한다.
커닝햄은 “어느 정도의 감염은 분명히 일어나겠지만, 오래된 앱 하나가 공격을 받았다는 이유로 인프라 전반에 걸친 대규모 감염이 일어나는 상황은 막아야 한다”라고 말했다. editor@itworld.co.kr