"회사 VPN을 표적으로 한 공격을 경험했다"
44
%
자료 제목 :
2022년 VPN 위험 보고서
2022 VPN Risk Report
자료 출처 :
Zscaler
원본자료 다운로드
발행 날짜 :
2022년 09월 26일
보안

"대부분 기업이 VPN 보안 우려하지만…여전히 사용 중" 지스케일러 보고서

Apurva Venkat | CSO 2022.09.27
클라우드 보안 업체 지스케일러(Zscaler)의 연례 VPN 위험 보고서(VPN Risk Report)에 따르면, VPN을 노린 소셜 엔지니어링, 랜섬웨어, 맬웨어 공격이 증가하면서 VPN에 의존한 원격 액세스가 기업을 상당한 위험에 빠뜨리고 있다.
 
ⓒ Getty Images Bank

조사에 참여한 기업의 95% 이상은 현재 안전한 원격 액세스를 위해 VPN 서비스를 활용하고 있는 것으로 나타났다. 2021년의 93%에서 소폭 증가했다. 하지만 보고서에 따르면, CVE(Common Vulnerabilities and Exposures) 데이터베이스에는 약 500개 이상의 알려진 VPN 취약점이 등록되어 있다.

지스케일러 수석 지역 부사장 아난트 나그는 “VPN이 더 이상 오늘날의 하이브리드 및 원격 액세스 요구 사항을 따라갈 수 없다는 것은 놀랍지 않은 사실이다. VPN은 모든 사람이 액세스하는 단일 기업 네트워크가 있던 때, 즉 네트워크 배치가 지금과는 다른 시기에 만들어졌다”라고 말했다.

이번 보고서는 글로벌 인력을 보유한 북미 지역의 IT 전문가 350명 이상이 참여한 설문조사 결과를 바탕으로 했다. 업무 환경이 원격 및 하이브리드 방식으로 바뀌면서 기업의 44%는 VPN을 표적으로 한 익스플로잇을 목격했다고 답했다. 71%는 VPN 네트워크가 보안 조치를 위태롭게 할 것을 우려하고 있었다.


대다수 기업, 3개 이상의 VPN 보유

기업의 규모와 복잡성은 일반적으로 원격 액세스 인프라 및 관리의 복잡성과 비례한다. 설문에 참여한 대다수 기업(61%)은 3개 이상의 VPN 게이트웨이를 보유하고 있으며, 38%는 5개 이상을 보유하고 있었다.

각 게이트웨이는 VPN, 내부 방화벽, 내부 로드 밸런서, 글로벌 로드 밸런서 및 외부 방화벽을 포함하는 어플라이언스 스택이 필요하다. 보고서는 “기업에 게이트웨이가 많을수록 안전한 원격 액세스를 위한 비용이 더 많이 들고 IT의 관리도 더 복잡해진다”라고 지적했다.

조사 기업의 약 74%는 애플리케이션이 데이터센터에서 실행되고 있다고 답했고 49%는 프라이빗 클라우드, 45%는 애저, 44%는 AWS, 22%는 구글 클라우드를 사용한다고 응답했다.

보고서에 따르면, VPN이 사이버 공격과 익스플로잇에 취약하다는 점을 인지하는 기업은 약 97%에 달하지만, 이들은 여전히 VPN을 사용하고 있다. 보고서는 “침해 사례는 감염된 기기나 도난당한 자격 증명이 하나만 있어도 전체 네트워크를 위험에 빠뜨릴 수 있다는 것을 보여준다. 바로 이것이 사이버 범죄자들이 VPN을 통해 사용자를 표적으로 삼는 이유”라고 설명했다.

나그는 “오늘날 애플리케이션은 기업이 통제할 수 없는 네트워크인 클라우드로 이동하고 있다. 사용자는 네트워크 외부와 장소에 관계없이 모든 기기에서 원활하게 작업할 수 있기를 바란다. 원격 액세스 VPN은 네트워크가 중심인 시대에는 잘 작동했지만, 사용자 주변에 가상의 경계가 있는 클라우드 및 이동성 시대에는 기기와 애플리케이션에 대한 적용성이 부족하다”라고 지적했다.


제로 트러스트로의 전환

레거시 VPN의 지속적인 위험은 제로 트러스트 보안 아키텍처로의 점진적인 전환을 이끄는 원동력이다. 80%의 기업이 제로 트러스트 모델을 적극적으로 계획하거나 구현하고 있는 것으로 조사됐다. 지스케일러에 따르면, 제로 트러스트 아키텍처는 VPN과는 달리 사용자를 비즈니스에 필수적인 정보와 동일한 네트워크에 연결하지 않으며, 사용자와 앱 간의 세그먼테이션을 통해 횡적 이동을 방지한다.

나그는 “처음 액세스 권한을 얻은 후 가상의 내부 자유를 얻는 전략은 더 이상 기업의 요구 사항을 충족하지 않는다”라고 덧붙였다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.