최근 미 NSA(National Security Agency)는 네트워크를 안전하게 보호하기 위해 상시적으로 해야 할 일을 설명한 IPsec 가상사설망 보호(Securing IPsec Virtual Private Networks) 문서를 발간했다. 이 문서가 제시하는 5가지 작업과 이 외에 VPN 연결을 보호하기 위해 할 수 있는 다른 작업을 세부적으로 살펴보자.
- VPN 게이트웨이 공격 표면 줄이기
- CNSSP 15를 준수하는 암호화 알고리즘 사용
- 기본 VPN 설정 사용 지양
- 사용되지 않거나 표준을 준수하지 않는 암호화 제품 제거
- VPN 게이트웨이와 클라이언트에 공급업체가 제공한 업데이트(패치) 적용
VPN 소프트웨어의 최신 버전 사용
지원되는 최신 VPN 소프트웨어를 사용해야 한다. 미국 컴퓨터침해사고긴급대응팀(USCERT)은 2020년 1월 공격자들이 취약한 펄스 VPN(Pulse VPN) 소프트웨어를 사용해 네트워크에 랜섬웨어를 침투시킨다고 경고했다. 이 취약점은 최악의 시나리오 공격이었다. 즉, "인증되지 않은 원격 공격자가 취약한 VPN 서버에 침투할 수 있다. 공격자는 모든 활성 사용자와 일반 텍스트로 된 이들의 인증 정보를 입수할 가능성이 있다. 또한 VPN 서버에 성공적으로 연결되는 각 VPN 클라이언트에서 공격자가 임의의 명령을 실행할 가능성도 있다." 네트워크를 보호하는 유일한 방법은 제공되는 패치를 적용하는 것이다.
VPN 연결 확인
VPN 연결을 점검해 가능한 최대한 안전한지 확인해야 한다. 먼저 설정에서 시스템 관리를 최적화한다. 필자는 이전에 분할 터널(split tunnel) VPN 문제와 오피스 365 사용 문제에 대해 설명한 적이 있다. 오랜 시간 동안 최선의 방법은 모든 트래픽이 VPN 터널을 통하도록 하는 것이었다. 클릭투런(click-to-run)과 오피스 365를 사용하는 지금은 이 트래픽을 분할해 사용자의 인터넷 연결을 통과하도록 하고 업무를 위한 나머지 트래픽은 VPN으로 전달하는 형태가 권장된다. 윈도우 10 엔터프라이즈 에디션 1709 이상에서 마이크로소프트의 올웨이즈 온(Always On) VPN을 사용하고 클라이언트 디바이스가 도메인에 조인하는 경우 디바이스 터널 기능을 설정할 수 있다. 이 기능은 컴퓨터가 사용자 로그인 전에 올웨이즈 온 VPN 연결을 설정할 수 있도록 한다. 이렇게 하면 사용자는 캐시된 인증 정보를 위험 없이 사용할 수 있다.
교육이나 설정을 위해 사무실을 먼저 방문하는 일 없이 원격으로 로그인하는 신규 사용자가 많은 상황에서는 특히 이것이 중요하다. 또한 디바이스 터널을 통해 관리자는 사용자가 로그인하지 않은 상태에서 원격으로 연결된 올웨이즈 온 VPN 클라이언트를 관리할 수 있다. 마지막으로, 디바이스 터널은 관리자가 원격 작업자의 비밀번호를 변경하거나 재설정할 때, 그리고 사용자가 셀프서비스 패스워드 리셋(Self-Service Password Reset, SSPR)을 실행할 때 발생하는 문제를 해결할 수 있다.
VPN 트래픽 필터링
VPN을 설정하고 나서 VPN 연결을 보호하기 위한 부가적인 단계를 수행하지 않는 경우가 많다. 공격자는 VPN 연결을 스캔하고 이를 통해 침입을 시도한다. 엄격한 트래픽 필터링 규칙을 사용해 VPN 디바이스로 가는 네트워크 트래픽의 포트와 프로토콜, IP 주소를 제한한다. 특정 IP 주소로 필터링할 수 없다면(지금 시점에서는 할 수 없음) 방화벽을 설정해 IPsec 트래픽을 검사, 모니터링하고 IPsec 세션을 검사해야 한다.시스코 모델을 사용하는 경우, 다음 ACL 예제를 사용하면 ISAKMP 트래픽을 알려진 피어로만 제한할 수 있다.
Access-list deny-ike extended permit udp <source_peer_ip> <destination_peer_ip> eq isakmp
Access-list deny-ike extended permit udp <source_peer_ip> <destination_peer_ip> eq 4500
Access-list deny-ike extended permit esp <source_peer_ip> <destination_peer_ip>
Access-list deny-ike extended deny udp any <destination_peer_ip> eq isakmp
Access-list deny-ike extended deny udp any <destination_peer_ip> eq
다음으로, 암호화를 최대한 안전하게 설정한다. 오래된 암호화 설정을 사용하는 경우 공격자의 침해로 기밀성이 손실될 수 있다. 시스코 문서에도 나와 있듯이 다음 명령을 입력해서 현재 사용되는 IPSec SA(Security Associations)를 점검할 수 있다.
- 현재 IPSec SA에 사용되는 설정을 표시하려면 show crypto ipsec sa detail 명령을 실행한다.
- 피어의 모든 현재 IKE SA를 표시하려면 show crypto isakmp sa 명령을 실행한다.
IPsec VPN 구성에 나와 있듯이, 2020년 6월 기준 CNSSP 15에 따른 최소 권장 ISAKMP/IKE 설정은 다음과 같다.
- 디피-헬만 그룹: 16
- 암호화: AES-256
- 해시: SHA-384
다른 공급업체의 경우 방화벽 문서를 참고하거나 직접 공급업체에 문의한다.
VPN 설정 검토
VPN에 사용된 기본 설정이나 마법사로 인해 예전의 취약한 설정이 활성화된 경우도 있으므로 이 부분도 확인해야 한다. 방화벽에서 VPN을 설정한 시점을 확인한다. 설정한 후 몇 년이 지났다면 당시 선택한 설정이 지금 기준으로는 충분하지 않을 가능성이 높다. 운영 중단이 발생할 가능성을 감수하고 VPN 구성을 검토해야 한다.예를 들어 시스코 SA 디바이스의 경우 NSA는 IKEv2를 권장한다. IKEv1 구현은 SHA1만 지원하기 때문이다. 다음 명령을 사용해 ISAKMP/IKEdhk IPsec을 구성할 수 있다.
IKEv2:
crypto ikev2 policy 1
encryption [aes-256|aes-gcm-256]
integrity [sha384|sha512]
group [16|20]
IPsec:
crypto ipsec ikev2 ipsec-proposal <proposal name>
protocol esp encryption [aes-256|aes-gcm-256]
protocol esp integrity [sha-384|sha512]
VPN 패치 적용
펄스 VPN 취약점을 통해 배운 바와 같이 VPN 솔루션에 패치를 배포하는 일은 보안을 위해 매우 중요하다. USCERT가 2019년 4월 24일 강조했듯이 펄스 시큐어(Pulse Secure)는 경보와 함께 여러 취약점을 해결하는 1차 소프트웨어 업데이트를 출시했다. 그러나 2019년 8월 24일 배드 패킷(Bad Packets)이 찾은 패치되지 않은, 업그레이드가 필요한 취약한 VPN 서버의 수는 약 1만 4,500개에 달했다. 펄스 VPN에 대한 공격은 간단한 픽스로 예방이 가능했다. 패치 프로세스를 검토해 방화벽 및 기타 VPN 플랫폼의 패치를 적시에 설치할 수 있도록 해야 한다. editor@itworld.co.kr 함께 보면 좋은 콘텐츠
Sponsored
Surfshark
“유료 VPN, 분명한 가치 있다” VPN 선택 가이드
ⓒ Surfshark VPN(가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다. 동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다. 무료 VPN, 정말 괜찮을까? 무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다. 보안 우려 대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다. 속도와 대역폭 제한 무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다. 서비스 제한 무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다. 광고 및 추적 위험 일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다. 제한된 기능 무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다. 유료 VPN의 필요성 최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다. 서프샤크 VPN은 구독 요금제 가입 후 7일간의 무료 체험을 제공하고 있다. ⓒ Surfshark 그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다. 보안 강화 해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다. 개인정보 보호 인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다. 지역 제한 해제 해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다. 빠르고 안전한 유료 VPN, 서프샤크 VPN ⓒ Surfshark 뛰어난 보안 서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다. 다양한 서버 위치 서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다. 속도와 대역폭 서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다. 다양한 플랫폼 지원 서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다. 디바이스 무제한 연결 서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.