이제 모든 것이 항상 온라인과 연결되어 있다. 그만큼 취약성도 커진다. 원격 액세스가 보급되면서 직원은 어디서든 일할 수 있게 됐지만, 그만큼 네트워크가 모든 곳에 노출돼 있다는 의미이기도 하다.
특히 직원에게 가상 사설망(VPN)을 지원하면서 다단계 인증을 뻬놓는 기업은 공격 위험에 노출될 수 있다. VPN 소프트웨어는 도메인 탈취와 랜섬웨어 삽입까지로 이어지는 공격의 기본 침해 지점이다.
취약점은 VPN 클라이언트 소프트웨어 자체의 취약점부터 액세스를 허용하는 네트워크에 연결된 모든 어플라이언스의 취약점까지 다양하다. 무차별 대입, 비밀번호 스프레이, 크리덴셜 스터핑은 공격자가 네트워크에 액세스하고 정보를 훔치기 위해 계정을 탈취할 때 사용하는 방법 중 일부에 불과하다.
가장 기본적인 수준의 팁은 소프트웨어를 항상 최신 상태로 유지하고 필요한 패치와 해당 VPN에 릴리즈된 제로 데이를 모두 적용함으로써 VPN에 대한 액세스를 보호하고 통제하는 것이다. 물론, 가장 안전한 비밀번호를 만들고 비밀번호 강도 정책을 마련하는 것도 중요하다.
VPN 보호 : 기본 사항 그 이상
최신 버전으로 업데이트하고 패치를 적용한 이후에도, VPN 액세스를 안전하게 유지하고 네트워크를 보호하기 위해 해야 할 일은 많다. 먼저 연결을 익명화하는 모든 네트워크, 인터넷 자산 또는 소프트웨어에서 IP 연결 및 인증을 거부하라. 특정 주소에 대한 연결을 추적하고 기록할 수 있는지 확인해야 한다.허용되는 네트워크 액세스 목록을 직원 정책 및 지침에 포함시켜야 한다. 어떤 사용자도 회사 네트워크에 액세스하기 위해 TOR(The Onion Router) 같은 서비스를 사용해서는 안 된다. 계정 잠금 정책과 적절한 비밀번호 정책을 설정해, 길고 강력한 비밀번호를 권장하고 의무적으로 사용하도록 하라.
비밀번호 복잡성을 높이는 정책을 시행해야 하지만, 비밀번호 피로도 역시 현실이다. 비밀번호를 복잡하게 만들기보다는 기존 비밀번호에 문자 하나만 추가하는 사용자가 너무 많다. 정책이나 업계 규정에 따른 비밀번호 변경의 필요성과 다단계 인증(MFA)을 추가하는 것이 비밀번호 변경보다 더 효과적임을 잘 알려야 한다.
사용자 계정을 설정할 때는 테스트 계정에도 다단계 인증을 적용해야 한다. 모든 관리형 서비스 업체 및 컨설턴트도 MFA를 사용하도록 설정해야 하며, 계약 기간 동안 계정의 활동과 사용을 모니터링해야 하는 것은 말할 필요도 없다. 컨설팅 창이 닫히면 관련 계정도 닫아야 한다.
보안에 중요한 VPN 기기의 감사 및 모니터링
VPN 기기를 감사해 기본 비밀번호가 사용되지 않는지, 원래 비밀번호가 재설정되었는지 확인해야 한다. 설정된 기기를 감사 및 검토하고 제대로 구성되었는지 확인해야 한다.설정된 모든 보안 그룹을 검토해 제대로 프로비저닝되었는지, 해당 사용자가 필요하다고 판단되는 위치, 기기 및 네트워크에만 액세스할 수 있는지 확인한다. 일정 또는 스크립트 감사를 설정해 그룹이 올바르게 구성되고 더 이상 사용하지 않는 그룹이 비활성화되고 네트워크에서 제거되는지 확인하라. VPN 어플라이언스의 모든 로컬 사용자의 액세스를 모니터링해야 한다.
모든 SSL VPN 연결에 서명된 인증서를 사용해 연결이 안전하고 적절하게 보호되는지 확인한다.
현실적으로 불가능한 이동 경로를 주의할 것
오전 7시에 한 위치에 로그인했다가 한 시간 후에 다른 위치의 서버에 로그인한 경우, 한 시간 내에 이동할 수 없는 서버인지 모니터링할 수 있는 VPN 솔루션임을 확인해야 한다. 위치 추적은 모든 VPN 솔루션의 핵심 보안 구성 요소이다.하지만 지리적 위치 차단에 의존하지 말자. 위치 차단은 수년 동안 네트워크를 보호하는 쉬운 방법이었다. 직원이 특정 위치에서 로그인하는 것만 확인하고 다른 곳에서의 접속 시도를 모두 차단하면 된다. 그러나 이제 공격자는 IP 위치를 사용하고 악용하는 방법을 알고 있으며, 심지어 가정용 라우터에 침투해 위치를 숨길 수 있어 지리적 위치를 통한 차단이 효과적이지 않게 되었다.
마이크로소프트는 최근 이란의 국가 지원을 받는 위협 행위자 피치 샌드스톰이 수천 개의 조직을 대상으로 비밀번호 스프레이 활동을 하는 새로운 맞춤형 다단계 백도어인 티클러를 배포하는 현상을 포착했다.
마이크로소프트는 “비밀번호 스프레이 공격에서 위협 행위자는 단일 비밀번호 또는 일반적으로 사용되는 비밀번호 목록을 사용해 여러 계정에 인증을 시도한다”라고 설명했다. “많은 비밀번호를 사용해 단일 계정을 대상으로 하는 무차별 비밀번호 대입 공격과 달리, 비밀번호 스프레이 공격은 공격자가 성공 가능성을 극대화하고 자동 계정 잠금 가능성을 최소화하는 데 도움이 된다.”
VPN을 사용하는 고위험군 개인에게 더 많은 보호를
관리자나 고위 경영진, 재무 부서 직원과 같은 특정 고위험군의 경우, 네트워크의 특정 IP에 대한 VPN 액세스를 제한하는 IP 허용 목록을 생성하는 것이 좋다. 해커의 표적이 될 가능성이 높은 것으로 의심되는 기업 내 개인에게 추가 모니터링 리소스와 보호 기능을 할당하라.VPN은 다른 비즈니스 소프트웨어와 마찬가지로 배포 위치에 관계없이 모니터링, 패치 및 감사가 필요하다. 현재 플랫폼을 재평가하고 관리형 클라우드 VPN 솔루션과 같은 대안도 나쁘지 않으며, 모든 계정에 MFA를 의무적으로 사용해야 한다는 점을 염두에 두자.
마이크로소프트는 네트워크에서 이러한 악의적인 활동을 모니터링하는 데 사용할 수 있는 몇 가지 리소스를 식별해 VPN 리소스 사용에 대한 지침을 제공한다. 문제가 발생하면 MFA를 다시 구현해 방법이 손상되지 않았는지 확인하라.
최소 권한을 실행하고 시스템이 최신 소프트웨어 및 엔드포인트 보호로 유지 관리되는지 확인하라. 네트워크에 어떤 비즈니스상의 이유로든 오래된 소프트웨어를 사용해야 하는 시스템이 있는 경우, 해당 시스템을 격리하고 인터넷에 연결되지 않도록 하는 동시에 주요 리소스에 대한 액세스를 제한하라.
마이크로소프트에 따르면 비밀번호 스프레이 공격으로부터 보호하기 위해서는 다음과 같은 완화 조치를 단계에 따라 구현해야 한다.
- 안전하지 않고 복잡도가 낮은 비밀번호를 삭제하라.
- 사용자에게 항상 로그인 활동을 검토하고 의심스러운 로그인 시도를 다음과 같이 표시하도록 교육하라. “내가 한 것이 아님”이라고 표시하라. 보안팀에 잠재적 인시던트가 진행 중임을 알리는 프로세스를 강조해야 한다. 해당 사용자에게 전달되는 사용자 공격 플레이북이 있어야 한다.
- 비밀번호 스프레이 공격의 표적이 된 계정은 반드시 계정 비밀번호를 재설정해야 한다. 공격 대상이 된 계정에 시스템 수준의 권한이 있는 경우 추가 조사가 필요할 수 있다.
- 워크스테이션의 설정을 검토하고 공격 서피스 감소 규칙을 설정해 일반적인 공격 기법을 방지하라. 최소한 다음과 같은 정책을 활성화해야 한다. 실행 파일이 유행, 사용 기간 또는 신뢰할 수 있는 목록 기준을 충족하지 않으면 실행을 차단하고 난독화될 가능성이 있는 스크립트의 실행을 차단한다.
editor@itworld.co.kr