VDI / 가상화ㆍ컨테이너 / 네트워크 / 보안

원격 네트워크 접근을 보호하는 VPN의 7가지 대안 솔루션

Michael Hill | CSO 2021.10.18
한때 원격 근무 직원을 보호하기 위한 대표적인 방법으로 통했던 VPN(Virtual Private Network)은 전통적인 사무실 공간 내에서 작업하는 대다수 직원과 달리 외부에서 연결하는 소수의 인력를 대상으로 기업 데이터 및 시스템에 대한 안전한 접근을 제공하기 위한 목적으로 설계됐다. 
 
ⓒ Getty Images Bank

그러나 2020년초 코로나 19로 인해 촉발된 대대적인 원격 근무로 인해 상황이 급변했다. 코로나19 이후 많은 기업에서 원격 근무를 표준적인 업무 형태로 사용하기 시작했고, 많은 직원이 아예 사무실에 출근하지 않거나 하더라도 이따금 하는 정도다.

VPN은 원격 근무와 하이브리드 환경에서 사용하기에 충분하지 않고, 많은 수의 원격 근무 직원을 보호하기 위해 VPN에 의존할 경우 상당한 위험이 야기되기도 한다. 타이코틱센트리파이(ThycoticCentrify)의 최고 보안 과학자이자 자문역 CISO인 조셉 카슨은 “원래 VPN은 원격으로 작업하면서 특정 시스템에 대한 원격 접근이 필요한 소수의 직원 또는 외부 계약 직원들을 관리하기 위한 목적으로 만들어졌다”면서, 또한 VPN은 늘어난 마찰면으로 인해 직원의 생산성과 사용자 경험에 부정적인 영향을 미친다고 말했다.

네타시아(Netacea)의 위협 연구 책임자인 매튜 그레이시 맥민은 “대규모 클라우드에서 VPN을 사용하는 것은 누구도 예견하지 못한 상황이며, 이로 인해 넓어진 잠재적 공격표면은 IT 팀에는 보안 악몽”이라고 설명했다.

앱게이트(Appgate) 보안 연구원 펠리페 두아르테는 “코로나19 팬데믹으로 인해 대부분의 기업은 완전한 원격 근무 환경에 신속하게 적응해야 했고, 일부는 일반적인 VPN 솔루션을 구축해 직원들이 집에서도 동일한 시스템에 접근할 수 있도록 하고 이들의 기기를 무작정 신뢰하는, 안전하지 않은 방식으로 대처했다”라고 지적했다.

원격 및 하이브리드 업무 방식이 앞으로도 당분간 표준이 될 전망이므로 기업은 원격 근무 시대의 VPN의 단점과 위험을 인지해야 할 뿐만 아니라 대안 솔루션을 통해 원격 및 하이브리드 업무의 미래를 더 안전하게 보호할 방법도 파악해야 한다.


원격 근무를 위한 VPN, 무엇이 문제인가

이머시브 랩스(Immersive Labs)의 애플리케이션 보안 책임자인 숀 라이트는 VPN은 일반적으로 기업의 네트워크를 확장하므로 사용자가 이용하는 네트워크가 안전하지 않을 경우 공격자가 이를 활용할 가능성이 더 커진다면서 “홈 네트워크에는 보안 취약점이 더 많아 위험도 높아진다”라고 경고했다.

VPN의 또 다른 단점으로 VPN이 두 지점 사이를 통과하는 트래픽에 대해서만 암호화를 제공하며 따라서 모든 VPN 연결의 한쪽 끝단에 트래픽 검사를 위한 독립적인 완전한 보안 스택을 구축해야 한다. 

도미닉 그룬덴(Dominic Grunden)의 CISO 웨이브 머니는 “클라우드에 호스팅되고 원격 작업자가 접근하는 기업 리소스가 갈수록 증가하는 상황에서 이 요구사항은 점점 더 충족하기가 어렵게 된다. 또한 VPN은 가장 약한 공격 링크인 서드파티 접근을 보호할 수단을 제공하지 않는다”라고 말했다.

대부분의 VPN이 트래픽 암호화로 최소한의 보안을 제공할 뿐 다중 인증(Multi-Factor Authentication, MFA) 사용을 강제하지 않는 경우가 많다. 네타시아의 그레이시-맥민은 “직원 컴퓨터가 재택 근무 중 침해되는 경우 악의적 행위자가 직원의 자격 증명을 사용해 완전히 신뢰하는 접근 권한을 획득해 VPN을 통해 회사 네트워크에 접근할 수 있게 된다. 또한 재택 업무 중에는 완전한 보안 스택 레이어를 갖추지 못하기 때문에 보안 팀에서 이와 같은 행동을 탐지할 수 있는 가능성도 낮아진다”라고 우려했다.

최근 콜로니얼 파이프라인 랜섬웨어 공격에서 이 문제를 볼 수 있다. 앱게이트의 두아르테는 “이 사고에서 공격자들은 안전하지 않은 VPN 어플라이언스의 탈취된 사용자 이름과 비밀번호를 사용해 간단히 내부 네트워크에 접근했다”라고 말했다. 두아르테는 또한 공격자들이 알려진 VPN 어플라이언스 취약점을 노려 악용하는 사례도 언급했다. 

최근에는 사이버 범죄 조직 다크사이트(DarkSide)의 CVE-2021-20016(소닉월(SonicWall) SSL VPN에 영향) 사례, 그리고 12개 이상의 악성코드 변종에 의해 악용된 CVE-2021-22893(펄스 시큐어(Pulse Secure) VPN에 영향) 사례가 있다.

또 다른 중대한 문제는 악성코드에 감염된 기기와 패치되지 않은 기기다. 두아르테는 “이 시나리오는 일반적으로 봇넷, 백도어, RAT(Remote Access Trojan)과 같이 사람이 조종하는 악성코드와 관련이 있다. 공격자는 기기에 원격으로 연결하고 VPN이 연결된 후에는 악성코드가 사용자를 가장해 접근 권한을 가진 모든 시스템에 접근하면서 내부 네트워크 전반에 퍼진다”라고 말했다.

기기는 적극적으로 업데이트되는 경우에만 충분한 안전을 담보할 수 있다. 이머시브 랩스의 라이트는 “세계에서 가장 안전한 VPN 연결을 사용한다 해도 기기가 적절히 패치되지 않으면 기업에 위험이 되며, 이 경우 VPN 연결은 별 도움이 되지 못한다”라고 설명했다.

VPN은 사용성과 생산성 측면에서도 큰 약점을 갖고 있다. 그룬덴의 머니는 “VPN에 대한 일반적인 불만은 네트워크 속도 저하다. VPN은 다른 서버를 통해 요청을 다시 라우팅하므로 네트워크 지연이 증가하고 따라서 연결 속도 저하가 불가피하다”라고 말했다. 

그 외에 킬 스위치 및 DHCP 사용과 관련된 다른 성능 문제가 발생하기도 한다. VPN이 제공하는 보안은 필요하긴 하지만 특히 엔터프라이즈 VPN을 사용하는 기업에서 과도한 복잡성을 수반하는 경우가 많다.


원격 작업을 위한 안전한 VPN 대안

VPN을 완전히 대체하든 다른 솔루션으로 VPN을 보완하든, 기업은 대규모 원격 작업을 보호하는 데 더 적합한 대체 보안 방법을 인식하고 구현해야 한다. 기업이 살펴볼 수 있는 VPN 대안의 종류와 수는 보안 태세, 위험 수용 성향과 같은 여러 요소에 따라 달라진다. 그러나 보안 전문가들은 다음과 같은 솔루션이 기업에 가장 효과적일 가능성이 높다고 입을 모은다.

1. ZTNA
제로 트러스트 네트워크 접근(Zero-Trust Network Access, ZTNA)은 기본적으로 네트워크의 애플리케이션과 데이터에 대한 중개 방식의 접근이다. 접근 권한을 부여하기 전에 사용자와 기기를 대상으로 확인한다. 두아르테는 “제로 트러스트 사고방식을 채택하고 항상 기기 또는 직원 계정이 침해되었을 수 있다고 가정해야 한다”라고 충고했다.

그룬덴은 “제로 트러스트 방법은 특정 시스템 및 네트워크에 접근 권한 부여하기와 같은 VPN의 기본적인 기능을 수행할 수 있지만 특정 애플리케이션까지 최소 권한 접근(least-privileged access), ID 인증, 직원 확인, 자격 증명 저장 등의 형태로 보안 계층이 추가된다”라고 설명했다.

결과적으로 공격자가 시스템 감염에 성공하더라도 그 피해는 해당 시스템이 접근할 수 있는 범위로 제한된다. 두아르테는 “감염된 시스템이 수행하는 포트 스캔과 같은 의심스러운 행동을 탐지하기 위해 네트워크 모니터링 솔루션도 반드시 구현해 자동으로 경보를 생성하고 감염된 시스템을 종료해야 한다”라고 말했다.

2. SASE
ZTNA 모델에서 모든 사용자와 기기는 접근 허용에 앞서 네트워크 수준뿐만 아니라 애플리케이션 수준에서도 검증 및 확인을 거친다. 그러나 제로 트러스트는 문제 해결의 한 부분일 뿐이며, 한 엔드포인트에서 다른 엔드포인트로 가는 모든 트래픽을 모니터링할 수는 없다. 

그레이시-맥민은 “SASE(Secure Access Service Edge)는 이 문제를 해결한다. 클라우드 기반 모델인 SASE는 네트워크와 보안 기능을 하나의 아키텍처 서비스로 결합해 기업이 하나의 지점, 하나의 화면에서 네트워크를 통합할 수 있게 해준다”라고 설명했다.

SASE는 오늘날 기업의 성능 및 보안 요구를 충족하도록 설계된 현대적 솔루션으로, 간소화된 관리와 운영, 낮은 비용, 더 넓은 시야, 부가적인 네트워크 기능 계층을 통한 보안과 기본적인 클라우드 네이티브 보안 아키텍처를 제공한다. 그룬덴은 “궁극적으로 SASE는 IT 팀과 기업의 전체 인력이 어디서나 일하고 모든 곳이 사이버화되는 코로나 뉴노멀 시대에 안전하게 작업할 수 있는 유연함을 제공한다”라고 말했다.

3. SDP
더 넓은 범위의 제로 트러스트 전략에서 구현되는 경우가 많은 소프트웨어 정의 경계(Software-Defined Perimeter, SDP)는 하드웨어가 아닌 소프트웨어를 기반으로 하는 네트워크 경계이며, 전통적인 VPN 솔루션을 효과적으로 대체한다. 

두아르테는 “다중 인증을 사용하고 네트워크를 세그먼트화할 수 있을 뿐만 아니라, 연결되는 사용자와 기기를 프로파일링하고 규칙을 만들어 다양한 시나리오에서 꼭 필요한 경우에 한해 접근을 허용할 수 있다”라고 말했다.

또한 SDP를 사용하면 네트워크에서 의심스러운 행동이 탐지될 때 리소스에 대한 접근을 더 쉽게 차단해 잠재적인 위협을 격리하고 공격에 의해 유발되는 피해를 최소화하고, 오탐지가 발생하는 경우 기기를 완전히 비활성화해 사용자가 제대로 작업할 수 없도록 하는 대신 생산성을 계속 유지할 수 있다.

4. SD-WAN
VPN은 라우터 중심 모델에 의존해 제어 기능을 네트워크 전반으로 분산하고, 여기서 라우터가 IP 주소와 ACL(Access-Control Lists)에 따라 트래픽을 라우팅한다. 소프트웨어 정의 WAN(Software-Defined Wide Area Networks, SD-WAN)은 기업의 요구에 따라 우선순위, 보안, 서비스 품질 요건을 기준으로 트래픽을 취급함으로써 WAN 전역에 걸쳐 더 스마트한 방식으로 트래픽 방향을 조정할 수 있는 소프트웨어 및 중앙 제어 기능을 사용한다.

그룬덴은 “SD-WAN 제품은 전통적인 물리적 라우터를 애플리케이션 수준 정책을 제어하고 네트워크 오버레이를 제공할 수 있는 가상 소프트웨어로 대체하도록 설계됐다. 또한 SD-WAN은 WAN 엣지 라우터의 지속적인 구성을 자동화하고 퍼블릭 광대역과 프라이빗 MPLS 링크의 하이브리드 네트워크를 통해 트래픽을 전송할 수 있다”고 설명했다. 이로써 더 낮은 비용, 더 낮은 복잡성, 더 높은 유연성, 더 나은 보안의 엔터프라이즈 엣지 수준 네트워크가 형성된다.
 
5. IAM과 PAM 
로그인 시도의 유효성을 확인하기 위한 포괄적인 검증 프로세스를 사용하는 솔루션은 일반적으로 비밀번호만 입력하면 되는 기존 VPN에 비해 더 강력한 보호 기능을 제공한다. IAM(Identity and access management, IAM)의 보안 기능은 세션 활동과 접근 특권을 개별 사용자에게 연결하므로 네트워크 관리자가 각 사용자에게 승인된 접근 권한이 있음을 확인하고 각 네트워크 세션을 추적할 수 있다. 그룬덴은 “IAM 솔루션은 사용자가 사용 승인된 리소스에만 접근할 수 있도록 부가적인 접근 수준을 제공하는 경우가 많다”라고 말했다.

IAM은 더 세부적인 활동 모니터링을 가능하게 해주는 ID 프로토콜을 관리하지만 특권 자격증명에 대한 부가적인 보호 기능을 제공하지는 않는다. 그룬덴은 "특권 계정에 대한 자격증명을 안전하게 관리하려면 특권 접근 관리(Privileged Access Management, PAM)이 필요하다. ID 관리가 개별 사용자의 ID를 설정하고 승인한다면 PAM은 핵심 시스템과 애플리케이션에 접근하는 특권 자격증명을 엄격하게 관리하는 데 초점을 둔다"라고 비교했다. 

이런 높은 수준의 계정은 보안 측면에서 가장 큰 위험을 내포하며 강력한 관리 역량을 가진 만큼 공격자들의 주 목표이기 때문에 면밀한 관리와 모니터링이 필요하다. PAM 솔루션의 주요 혜택에는 복잡한 비밀번호의 빈번한 돌려막기, 비밀번호 난독화, 시스템 및 데이터 접근 제어, 사용자 활동 모니터링과 같은 고급 자격증명 보안을 포함한다. 이런 기능은 무단 특권 자격증명 사용 위협을 줄이고 IT 관리자가 의심스럽거나 위험한 활동을 좀 더 쉽게 발견할 수 있게 해준다.

6. UEM 
통합 엔드포인트 관리(Unified Endpoint Management, UEM) 도구를 통한 조건부 접근은 기기에서 실행되는 에이전트가 다양한 조건을 평가한 후 특정 리소스에 대한 접근을 허용하는 조건부 접근 기능을 통해 VPN 없는 환경을 제공할 수 있다. 

포레스터의 선임 분석가인 앤드류 휴이트는 “UEM은 예를 들어 기기의 규정 준수 여부, ID 정보, 사용자 행동을 평가해 그 사용자가 기업 데이터에 접근해도 되는지 여부를 판단할 수 있다. UEM 제공업체는 부가적인 보호를 위해 ZTNA 제공업체와 통합되는 경우가 많다”라고 말했다.

7. VDI 또는 DaaS 
가상 데스크톱 인프라(Virtual Desktop Infrastructure, VDI) 또는 서비스형 데스크톱(desktop as a Service) 솔루션은 기본적으로 클라우드 또는 온프레미스 서버에서 컴퓨팅을 스트리밍해 기기 자체에는 아무것도 없도록 하는 것이다. 휴이트는 기업에서 VDI를 VPN의 대안으로 사용하기도 하지만, 기기 수준에서 확인해야 할 부분이 있고, 접근을 보호하기 위한 사용자 인증도 필요하다. 이 방법의 이점은 전통적인 VPN과 달리 가상 세션에서 로컬 클라이언트로 데이터를 복사할 수 없다는 점이다”이라고 설명했다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.