IT 관리 / 보안

‘재택근무 시대에 필수’ 원격 접속 계정과 기기를 보호하는 3가지 방법

Susan Bradley | CSO 2022.02.10
전통적인 사이버보호 기법은 재택근무 시대에도 여전히 효과적이다. 하지만 적용해야 하는 보안 규칙과 제품이 달라진다. 기존 네트워크는 모두 동일한 방식으로 구축된다. 액티브 디렉토리(Active Directory) 도메인과 다양한 도메인 컨트롤러, 해당 도메인이 제어하는 워크스테이션이 있으며, 이 모든 것들은 방화벽 뒤에 숨겨져 있다.
 
ⓒ Getty Images Bank

코로나19 팬데믹 이전에는 네트워크에 머무르는 사용자와 도메인을 배회하는 사용자를 대상으로 한 프로파일과 그룹 정책, 혹은 로밍 노트북이 골칫덩이였다. 팬데믹 이후에는 워크스테이션을 어디에서나 볼 수 있게 됐다. 재택근무 시대의 워크스테이션은 방화벽과 방어 툴 뒤에 숨겨져 있는 정돈된 도메인이 아니라 알렉사 기기와 같은 네트워크에 연결돼 있다. 보안을 위해 워크스테이션에 안티바이러스 제품과 스캔 엔진을 마구 집어넣곤 하는데, 이는 부팅 시간과 네트워크 접속 시간을 늦추는 결과를 낳을 뿐이다.

여러 스캔 툴을 배포하는 것은 해답이 아니다. 다른 보호 방법으로 중심을 잡을 필요가 있다. 즉, 워크스테이션 수준에서 보호 리소스를 배포하는 대신 인증 수준에서의 보호 기능을 검토해야 한다. 최근 마이크로소프트가 블로그에서 강조한 것처럼 많은 CISO가 네트워크에 명백한 위협이 되는 요소로 랜섬웨어를 꼽았으며 랜섬웨어로부터 네트워크를 보호하는 데 중점을 두고 있다. 


출구 필터링 사용하기

네트워크의 기본인 출구 필터링부터 시작해 보자. 파이어아이에 따르면, 사이버 공격자가 랜섬웨어 공격을 시작하기 전에 네트워크에 머무는 평균 기간은 72.75일이다. 따라서 네트워크 트래픽을 분석해 대기 중인 공격자를 찾을 수 있는 시간은 2달 정도다.

첫 번째 방법은 워크스테이션과 서버에서 아웃바운드 트래픽을 검토하는 것이다. 공격자가 네트워크에서 자유롭게 로밍할 수 있는 오래된 파일과 공유 프로토콜을 비활성화할 수 있는지 확인하고, 중요한 서버에 공격자가 표적으로 삼을 만한 데이터베이스를 남겨두는 트래픽이 있는지 검토해야 한다. 

출구 필터링은 오래된 방법이지만 간과되는 경우가 많다. 민감한 시스템에서의 네트워크 요구를 처리하기 위해 아웃바운드 시스템을 해당 포트와 프로토콜에만 적용하고, RDP(Remote Desktop Protocol)가 특정 관리자 워크스테이션에서만 허용되도록 방화벽 룰셋(rule sets)을 설정한다. 랜섬웨어 공격자는 남겨진 허점과 수집한 암호로 공격을 시작할 때가 있으므로 원격 데스크톱 액세스에 대한 허점을 공격자보다 먼저 찾아야 한다.


정부가 제공한 보안 툴 사용하기

각국 정부에서는 사이버 위협에서 사용자를 보호하기 위한 지원을 강화하고 있다. 예컨대 영국 NSCS(National Cyber Security Centre)는 시스템 소유자와 관리자가 취약점을 보유한 시스템을 찾을 수 있도록 설계된 NMAP 스크립팅 엔진(NMAP Scripting Engine) 스크립트 모음집을 공개했다. 미국 CISA(Cybersecurity and Infrastructure Security Agency)에서 관리하는 알려진 취약점 목록을 참고해 Nmap 스크립팅 엔진을 활용하면 적절한 보호책을 마련할 수 있다.


클라우드 기반 조건부 액세스 옵션 사용하기

원격지에서 접속하는 워크스테이션이 점점 많아지고 있기 때문에 IP 주소만으로 서비스에 대한 액세스를 제한하는 것은 불가능할 수 있다. 클라우드 서비스는 조건부 액세스라는 기술을 제공한다. 예컨대 애저에서 위험 기반 규칙에 조건부 액세스를 설정하면 사용자 이름과 특정 동작에 대한 로그인을 검토할 수 있다. 한 부서의 사용자가 서비스에 로그인할 때 특정 국가의 IP 주소를 사용하지 않을 경우 액세스를 제한하는 규칙도 설정할 수 있다.

인튠(Intune)을 사용하면 네트워크 리소스나 사내 애플리케이션 액세스를 제어할 때에도 위험 기반 정책을 설정할 수 있다. 예를 들어, 회사 소유 및 직원 개인이 소유한 윈도우 PC에 대해 네트워크 액세스 관리 수준이나 기기 위험에 따라 조건부 액세스를 설정하는 것이다. 또한 하이브리드 애저 액티브 디렉토리 등록 시나리오나 애저 액티브 디렉토리 클라우드 우선 배포에 사용할 인튠을 설계하고, 특정 애플리케이션에 대한 액세스를 허용하는 규칙 설정도 가능하다.

재택근무 시대에는 데스크톱뿐 아니라 네트워크에 연결된 아이폰과 아이패드 같은 애플 기기도 보호해야 한다. 마이크로소프트는 다른 운영체제를 사용하는 기기를 보호하는 기능도 도입하고 있다.

조건부 액세스가 중요한 또 다른 이유가 있다. 사이버 공격자가 전통적이지 않은 방법으로 자격증명을 도용하는 경우에 대응하기 위해서다. 악성 소프트웨어를 애플리케이션에 삽입한 후 다른 네트워크에 악성코드를 사용하는 공급망 공격이 대표적인데, 이때 공격자는 특정 기기를 공격하기보다는 자격증명에 초점을 맞춘다. 

최근 보안업체 크라우드스트라이크가 분석한 한 사이버 공격 캠페인에서는 측면 이동을 감추기 위한 자격증명 호핑, 오피스 365 서비스 관리자 및 애플리케이션 하이재킹, 사칭 및 조작, 다중인증을 우회하기 위한 브라우저 쿠키 도용, 트레일블레이저(TrailBlazer) 임플란트와 골드맥스(GoldMax) 악성코드의 리눅스 변종 사용, Get-ADReplAccount를 통한 자격증명 도용과 같은 방법이 사용됐다. 크라우드스트라이크는 워크스테이션 소유자의 계정을 사용해 사용자의 워크스테이션에 연결한 계정을 발견했다.

크라우드스트라이크가 분석한 공격 절차는 다음과 같다. 
 
  • 과거 자격증명 도용 활동으로 획득한 로컬 계정 <user sftp>에서 SSH(Secure Shell)을 사용해 자유롭게 접근가능한(public-facing) 시스템에 로그인한 뒤, 피해자의 네트워크에 액세스 
  • 자유롭게 접근가능한 시스템의 SSH에 내장된 포트 전달 기능을 사용해 도메인 서비스 계정으로 내부 서버(서버 1)에 RDP(Remote Desktop Protocol) 세션 구축 
  • 서버 1에서 도메인 관리자 계정으로 또 다른 RDP 세션을 다른 내부 서버(서버 2)에 구축
  • 클라우드 리소스 액세스 권한이 있는 사용자의 오피스 365 아이디로 로그인

이런 종류의 자격증명 공격에 대응하려면 조건부 액세스 규칙을 사용해 클라우드 리소스에 대한 비정상적인 액세스 작업에 대해서도 알림 받을 필요가 있다. 재택근무 시대의 기업은 보안 옵션을 검토하고 다양한 기술을 활용해 기기와 워크스테이션뿐 아니라 사용자 계정과 자격증명까지 보호해야 한다. 

editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.