2020.10.23

토픽브리핑 | "VPN, 안전한가" 재택근무에 사용하는 VPN의 문제와 대안

이대영 기자 | ITWorld
코로나19로 인해 재택근무가 증가함에 따라 기업 자원에 대한 안전한 접근 필요성은 계속 높아지고 있으며, 이와 함께 더욱 많은 VPN에 대한 수요도 전 세계적으로 증가하고 있다. 
 
ⓒ IDG

기업들은 특정 시간, 장소, 기기만 사내 네트워크에 접근할 수 있게 운영되고 있어 재택근무를 진행하기 곤란한 경우가 많다. 하지만 이런 문제는 VPN을 통해 해결할 수 있다. 직원들에게 VPN 권한을 부여하면 외부에서도 보안된 상태로 사내 서버 접근이 가능하고, 보안상 중요한 자료를 열람하고 공유할 수 있다. 

많은 관련 업체가 기업의 재택근무를 위한 VPN 서비스를 제공하기 시작했는데, 일부는 무료로 서비스하기도 했다.  

시놀로지, 재택근무 환경 구축 위한 ‘무료 VPN 플러스’ 제공
넥스지, “VPN 보안솔루션으로 안전한 재택근무 환경 지원”
“신종 코로나 바이러스 여파 재택근무 기업 지원” 펄스시큐어, VPN 소프트웨어 무상 제공

사실 VPN은 코로나19 발발 이전에도 이미 성장 산업으로 평가됐다. 글로벌 마켓 인사이트는 2020년 조사를 통해 전 세계 VPN 시장은 2026년까지 연평균 12%의 성장률로 700억 달러 규모에 이를 것으로 전망했다. 

이에 2020년 1분기부터 전 세계 VPN 수요가 폭증해 75개 국가에서 뚜렷한 증가세를 보였다. AT&T는 4월 블로그에서 클라우드에 기반한 자사의 SD-WAN 정적 네트워크 기반(ANIRA) VPN 서비스에 대한 연결이 700% 증가했다고 밝혔다. 

그런데, 이런 VPN 수요 폭증의 이유는 업무와 관련이 없는 스트리밍 서비스 때문이었다. 
VPN 수요 증가폭이 가장 큰 나라는 의외로 이집트(224%)와 슬로베니아(169%), 칠레(149%)였다. 2주 이상 큰 폭의 증가세를 유지한 곳은 이집트(154%)와 페루(119%), 남아프리카(105%)이다.

하지만 이런 폭증은 네트워크 과부하와 악의적인 활동의 증가라는 결과를 가져온다.  

3월 전 세계 VPN 트래픽 폭발 “스트리밍 서비스가 주 원인”

문제는 안전한 원격 액세스 방법으로 알려진 VPN이 생각만큼 안전한 것이 아니라는 점이다. VPN 전화 앱과 기업용 솔루션에 알려진 취약점이 존재하는데, 이는 VPN 애플리케이션을 사용할 때도 위험하다는 것을 의미한다. 

이미 VPN 플랫폼을 표적으로 삼은 공격이 있었다. 일부는 통신, 소프트웨어, 방위산업이 표적이었다. 공격자는 VPN 비밀번호를 훔친 다음, RDP(Remote Desktop Protocol)을 사용해 네트워크 내부에 침투하고 내부망 이동을 통해 내부 인프라에 더 깊숙이 침투할 수 있었다.

전문가들은 "VPN 덕분에 더 안전해질 것이라고 생각해서는 안된다. 때론 더 많은 위험이 초래한다"라고 경고했다. 

기업용 VPN의 알려진 RCE 취약점 6가지, 이를 최소화하는 방법

최근 미 NSA(National Security Agency)는 네트워크를 안전하게 보호하기 위해 상시적으로 해야 할 일을 설명한 IPsec VPN 보호(Securing IPsec Virtual Private Networks) 문서를 발간했다. 이 문서가 제시하는 5가지 작업과 이 외에 VPN 연결을 보호하기 위해 할 수 있는 작업들은 다음과 같다. 
 
  • VPN 게이트웨이 공격 표면 줄이기
  • CNSSP 15를 준수하는 암호화 알고리즘 사용
  • 기본 VPN 설정 사용 지양
  • 사용되지 않거나 표준을 준수하지 않는 암호화 제품 제거
  • VPN 게이트웨이와 클라이언트에 공급업체가 제공한 업데이트(패치) 적용

보안을 위한 VPN 최적화의 5가지 주요 작업
'VPN 트래픽 보안 통제 무력화'··· 'IPv6 VPN 탈옥'을 막는 3가지 방법

이런 문제점을 해결하기 위해 방법이 등장했는데, 분할 터널링 또한 이 가운데 하나다. 기본적으로 분할 터널링은 고객이 기업 VPN 터널을 통해 전송될 특정 엔터프라이즈로 향하는 트래픽을 선택할 수 있도록 하는 기능이다. 나머지는 터널을 거치지 않고 인터넷 서비스 공급자(ISP)로 직접 간다. 그렇지 않으면 모든 트래픽, 심지어 인터넷상의 사이트로 향하는 트래픽도 기업 보안 조치를 통해 VPN을 통과하고 다시 인터넷으로 돌아갈 것이다. 이러한 아이디어는 VPN 인프라가 트래픽을 덜 처리해야 하므로 성능이 더 좋다는 것이다.

시스코 등이 주목하는 VPN 분할 터널링이란

그리고 보안과 간소함에 초점을 둔 와이어가드(WireGuard) 프로젝트가 진행됐다.  
와이어가드는 보안에 초점을 두고 단순함과 쉬운 사용을 대표적인 특징으로 내세우는 VPN으로, 검증된 암호화 프로토콜과 알고리즘을 사용해 데이터를 보호한다. 원래는 리눅스 커널용으로 개발됐지만 지금은 윈도우, 맥OS, BSD, iOS, 안드로이드에도 배포할 수 있다.

우선 와이어가드 프로토콜은 암호화 민첩성, 즉 다양한 암호화, 키 교환, 해싱 알고리즘에 대한 선택권을 제공한다는 개념을 버렸다. 다른 기술에서 이 개념이 불안전한 환경의 원인이 됐기 때문이다. 대신 와이어가드는 철저한 테스트와 피어 리뷰를 거친 현대적 암호화 기초 요소를 사용한다. 와이어가드 프로토콜은 민간 분야와 학계의 여러 보안 연구 팀의 리뷰를 거쳤고 다양한 컴퓨터 모델에서 공식적으로 검증됐다.

와이어가드는 아직 공식적으로 안정화 버전에 이르지 않았지만 이미 프로덕션에서도 사용되고 있다. 일부 상용 VPN 서비스 제공업체는 와이어가드 서버를 제공하고 있고 와이어가드를 중심으로 한 메시 네트워킹 툴을 제작하기 위한 작업도 계속 진행 중이다. 

그러나 와이어가드는 아직 '기업용 요건'을 충족하지 않으며, 앞으로 충족하게 될지 여부도 불투명하다. 개발자들이 소수의 일부 사용자나 엣지 케이스에만 필요할 새로운 기능을 추가하기를 꺼리기 때문이다. 그게 다른 여러 프로젝트가 지나치게 복잡해진 원인이다.

안전하고 간단하지만 아직 개발 중인 VPN, "와이어가드"란 무엇인가

이런 VPN에 대해 근본적인 회의론도 존재한다. VPN은 네트워크 경계라는 개념을 근거로 하는 보안 기법으로, 신뢰할 만한 직원이 내부에 있고, 신뢰할 수 없는 직원이 외부에 있음을 전제한다. 

경계 보안 접근법은 결함이 많다. 결정적으로 내부자 공격에 대처하지 못한다. 협력업체, 외부자, 공급망 등을 식별하는데 서툴다. 공격자는 누군가의 VPN 인증 정보를 훔치기만 하면 네트워크에 접속해 자유롭게 돌아다닐 수 있다. 

따라서 경계 보안 모델은 직원이 모바일 기기를 가지고 다양한 내부 또는 외부 장소로부터 네트워크에 접속하는 현재의 비즈니스 환경에 맞지 않다. 또한 기업 자산은 기업 데이터센터 안이 아니라 멀티 클라우드 환경에 존재한다. 

오늘날의 기업 보안 현실을 아는 사람은 경계 보안 접근법의 효과가 거의 없다는 것을 알고 있다. 포레스터의 수석 애널리스트인 체이스 커닝험은 “경계 기반 보안 모델은 간단히 말해 실패했다”면서, “노력이 부족하다거나 투자가 부족한 것이 아니라, 단지 부실한 기반 위에 구축되었기 때문이다. 하나가 무너지면 모든 것이 위험해진다. 이는 누구나 아는 사실이다”라고 말했다. 

이런 보안 문제를 근본적으로 방지하고 위험을 완화할 수 있는 방법 가운데 하나는 제로 트러스트(zero trust) 보안 모델을 도입하는 것이다. 가트너는 2023년까지 60%의 기업이 VPN으로부터 점진적으로 탈피해 제로 트러스트(Zero Trust) 네트워크 접속으로 이동할 것이라고 예측하고 있다. 

제로 트러스트 프레임워크의 개념은 단순하다. 즉, 아무도 신뢰하지 않는 것이다. 모든 사람을 검증한다. 직원의 접근을 업무에 필요한 자원으로 한정하고 그 이상을 허용하지 않는 엄격한 접속 제어 및 신원 관리 정책을 강제한다. 

제로 트러스트는 개념이 나온지 10년이 지났지만, 제대로 도입되기 시작한 것은 2~3년밖에 되지 않았다. 최근에 와서야 관련 업체들이 제로 트러스트 구현을 위한 솔루션을 제시하기 시작했다. 

VPN은 죽어가고, 제로 트러스트가 살아난다
토픽 브리핑 | '재택근무와 IoT 보안의 기대주' 제로 트러스트의 현황
“보안에서 ‘신뢰’를 제거하라” 제로 트러스트의 진정한 의미와 구현 성공 사례 
editor@itworld.co.kr


2020.10.23

토픽브리핑 | "VPN, 안전한가" 재택근무에 사용하는 VPN의 문제와 대안

이대영 기자 | ITWorld
코로나19로 인해 재택근무가 증가함에 따라 기업 자원에 대한 안전한 접근 필요성은 계속 높아지고 있으며, 이와 함께 더욱 많은 VPN에 대한 수요도 전 세계적으로 증가하고 있다. 
 
ⓒ IDG

기업들은 특정 시간, 장소, 기기만 사내 네트워크에 접근할 수 있게 운영되고 있어 재택근무를 진행하기 곤란한 경우가 많다. 하지만 이런 문제는 VPN을 통해 해결할 수 있다. 직원들에게 VPN 권한을 부여하면 외부에서도 보안된 상태로 사내 서버 접근이 가능하고, 보안상 중요한 자료를 열람하고 공유할 수 있다. 

많은 관련 업체가 기업의 재택근무를 위한 VPN 서비스를 제공하기 시작했는데, 일부는 무료로 서비스하기도 했다.  

시놀로지, 재택근무 환경 구축 위한 ‘무료 VPN 플러스’ 제공
넥스지, “VPN 보안솔루션으로 안전한 재택근무 환경 지원”
“신종 코로나 바이러스 여파 재택근무 기업 지원” 펄스시큐어, VPN 소프트웨어 무상 제공

사실 VPN은 코로나19 발발 이전에도 이미 성장 산업으로 평가됐다. 글로벌 마켓 인사이트는 2020년 조사를 통해 전 세계 VPN 시장은 2026년까지 연평균 12%의 성장률로 700억 달러 규모에 이를 것으로 전망했다. 

이에 2020년 1분기부터 전 세계 VPN 수요가 폭증해 75개 국가에서 뚜렷한 증가세를 보였다. AT&T는 4월 블로그에서 클라우드에 기반한 자사의 SD-WAN 정적 네트워크 기반(ANIRA) VPN 서비스에 대한 연결이 700% 증가했다고 밝혔다. 

그런데, 이런 VPN 수요 폭증의 이유는 업무와 관련이 없는 스트리밍 서비스 때문이었다. 
VPN 수요 증가폭이 가장 큰 나라는 의외로 이집트(224%)와 슬로베니아(169%), 칠레(149%)였다. 2주 이상 큰 폭의 증가세를 유지한 곳은 이집트(154%)와 페루(119%), 남아프리카(105%)이다.

하지만 이런 폭증은 네트워크 과부하와 악의적인 활동의 증가라는 결과를 가져온다.  

3월 전 세계 VPN 트래픽 폭발 “스트리밍 서비스가 주 원인”

문제는 안전한 원격 액세스 방법으로 알려진 VPN이 생각만큼 안전한 것이 아니라는 점이다. VPN 전화 앱과 기업용 솔루션에 알려진 취약점이 존재하는데, 이는 VPN 애플리케이션을 사용할 때도 위험하다는 것을 의미한다. 

이미 VPN 플랫폼을 표적으로 삼은 공격이 있었다. 일부는 통신, 소프트웨어, 방위산업이 표적이었다. 공격자는 VPN 비밀번호를 훔친 다음, RDP(Remote Desktop Protocol)을 사용해 네트워크 내부에 침투하고 내부망 이동을 통해 내부 인프라에 더 깊숙이 침투할 수 있었다.

전문가들은 "VPN 덕분에 더 안전해질 것이라고 생각해서는 안된다. 때론 더 많은 위험이 초래한다"라고 경고했다. 

기업용 VPN의 알려진 RCE 취약점 6가지, 이를 최소화하는 방법

최근 미 NSA(National Security Agency)는 네트워크를 안전하게 보호하기 위해 상시적으로 해야 할 일을 설명한 IPsec VPN 보호(Securing IPsec Virtual Private Networks) 문서를 발간했다. 이 문서가 제시하는 5가지 작업과 이 외에 VPN 연결을 보호하기 위해 할 수 있는 작업들은 다음과 같다. 
 
  • VPN 게이트웨이 공격 표면 줄이기
  • CNSSP 15를 준수하는 암호화 알고리즘 사용
  • 기본 VPN 설정 사용 지양
  • 사용되지 않거나 표준을 준수하지 않는 암호화 제품 제거
  • VPN 게이트웨이와 클라이언트에 공급업체가 제공한 업데이트(패치) 적용

보안을 위한 VPN 최적화의 5가지 주요 작업
'VPN 트래픽 보안 통제 무력화'··· 'IPv6 VPN 탈옥'을 막는 3가지 방법

이런 문제점을 해결하기 위해 방법이 등장했는데, 분할 터널링 또한 이 가운데 하나다. 기본적으로 분할 터널링은 고객이 기업 VPN 터널을 통해 전송될 특정 엔터프라이즈로 향하는 트래픽을 선택할 수 있도록 하는 기능이다. 나머지는 터널을 거치지 않고 인터넷 서비스 공급자(ISP)로 직접 간다. 그렇지 않으면 모든 트래픽, 심지어 인터넷상의 사이트로 향하는 트래픽도 기업 보안 조치를 통해 VPN을 통과하고 다시 인터넷으로 돌아갈 것이다. 이러한 아이디어는 VPN 인프라가 트래픽을 덜 처리해야 하므로 성능이 더 좋다는 것이다.

시스코 등이 주목하는 VPN 분할 터널링이란

그리고 보안과 간소함에 초점을 둔 와이어가드(WireGuard) 프로젝트가 진행됐다.  
와이어가드는 보안에 초점을 두고 단순함과 쉬운 사용을 대표적인 특징으로 내세우는 VPN으로, 검증된 암호화 프로토콜과 알고리즘을 사용해 데이터를 보호한다. 원래는 리눅스 커널용으로 개발됐지만 지금은 윈도우, 맥OS, BSD, iOS, 안드로이드에도 배포할 수 있다.

우선 와이어가드 프로토콜은 암호화 민첩성, 즉 다양한 암호화, 키 교환, 해싱 알고리즘에 대한 선택권을 제공한다는 개념을 버렸다. 다른 기술에서 이 개념이 불안전한 환경의 원인이 됐기 때문이다. 대신 와이어가드는 철저한 테스트와 피어 리뷰를 거친 현대적 암호화 기초 요소를 사용한다. 와이어가드 프로토콜은 민간 분야와 학계의 여러 보안 연구 팀의 리뷰를 거쳤고 다양한 컴퓨터 모델에서 공식적으로 검증됐다.

와이어가드는 아직 공식적으로 안정화 버전에 이르지 않았지만 이미 프로덕션에서도 사용되고 있다. 일부 상용 VPN 서비스 제공업체는 와이어가드 서버를 제공하고 있고 와이어가드를 중심으로 한 메시 네트워킹 툴을 제작하기 위한 작업도 계속 진행 중이다. 

그러나 와이어가드는 아직 '기업용 요건'을 충족하지 않으며, 앞으로 충족하게 될지 여부도 불투명하다. 개발자들이 소수의 일부 사용자나 엣지 케이스에만 필요할 새로운 기능을 추가하기를 꺼리기 때문이다. 그게 다른 여러 프로젝트가 지나치게 복잡해진 원인이다.

안전하고 간단하지만 아직 개발 중인 VPN, "와이어가드"란 무엇인가

이런 VPN에 대해 근본적인 회의론도 존재한다. VPN은 네트워크 경계라는 개념을 근거로 하는 보안 기법으로, 신뢰할 만한 직원이 내부에 있고, 신뢰할 수 없는 직원이 외부에 있음을 전제한다. 

경계 보안 접근법은 결함이 많다. 결정적으로 내부자 공격에 대처하지 못한다. 협력업체, 외부자, 공급망 등을 식별하는데 서툴다. 공격자는 누군가의 VPN 인증 정보를 훔치기만 하면 네트워크에 접속해 자유롭게 돌아다닐 수 있다. 

따라서 경계 보안 모델은 직원이 모바일 기기를 가지고 다양한 내부 또는 외부 장소로부터 네트워크에 접속하는 현재의 비즈니스 환경에 맞지 않다. 또한 기업 자산은 기업 데이터센터 안이 아니라 멀티 클라우드 환경에 존재한다. 

오늘날의 기업 보안 현실을 아는 사람은 경계 보안 접근법의 효과가 거의 없다는 것을 알고 있다. 포레스터의 수석 애널리스트인 체이스 커닝험은 “경계 기반 보안 모델은 간단히 말해 실패했다”면서, “노력이 부족하다거나 투자가 부족한 것이 아니라, 단지 부실한 기반 위에 구축되었기 때문이다. 하나가 무너지면 모든 것이 위험해진다. 이는 누구나 아는 사실이다”라고 말했다. 

이런 보안 문제를 근본적으로 방지하고 위험을 완화할 수 있는 방법 가운데 하나는 제로 트러스트(zero trust) 보안 모델을 도입하는 것이다. 가트너는 2023년까지 60%의 기업이 VPN으로부터 점진적으로 탈피해 제로 트러스트(Zero Trust) 네트워크 접속으로 이동할 것이라고 예측하고 있다. 

제로 트러스트 프레임워크의 개념은 단순하다. 즉, 아무도 신뢰하지 않는 것이다. 모든 사람을 검증한다. 직원의 접근을 업무에 필요한 자원으로 한정하고 그 이상을 허용하지 않는 엄격한 접속 제어 및 신원 관리 정책을 강제한다. 

제로 트러스트는 개념이 나온지 10년이 지났지만, 제대로 도입되기 시작한 것은 2~3년밖에 되지 않았다. 최근에 와서야 관련 업체들이 제로 트러스트 구현을 위한 솔루션을 제시하기 시작했다. 

VPN은 죽어가고, 제로 트러스트가 살아난다
토픽 브리핑 | '재택근무와 IoT 보안의 기대주' 제로 트러스트의 현황
“보안에서 ‘신뢰’를 제거하라” 제로 트러스트의 진정한 의미와 구현 성공 사례 
editor@itworld.co.kr


X