VPN·VDI 보안 문제도 고려해야…다종 다양 엔드포인트 가시화·통제 필요
[데이터넷] 최근 가장 주목받는 보안 모델인 제로 트러스트(Zero Trust)는 코로나19 감염·확산 방지를 위한 원격근무 환경에서도 반드시 고려해야 할 보안 모델로 꼽힌다. 제로 트러스트는 전통적인 경계 기반 보안이 무의미해지는 원격근무, 클라우드, IoT을 위한 필수 보안 전략인 것은 틀림없다. 그러나 제로 트러스트만으로 충분하지 않다. 사용자 계정 관리의 실패, 알려지지 않은 위협에 감염된 기기나 관리되지 않은 장치가 무단으로 접속했을 때의 문제를 반드시 고려해야 한다.
파이어아이는 블로그 ‘COVID-19 시대의 원격 작업: 위험 모델링 위협’ 포스팅을 통해 재택근무와 같은 원격작업 시 보안 고려 사항에 대해 정리했다. 이 글에서는 원격 데스크톱 프로토콜(RDP)와 같은 직접 연결 방식이 가장 위험하다고 지적했다. VPN·가상 데스크톱 인프라(VDI), 제로 트러스트가 보안 위협을 낮출 수 있지만, 자격증명 탈취, 다단계 인증(MFA) 우회, 관리되지 않은 기기의 접근 등의 문제를 해결하지 않으면 위험을 제거할 수 없다고 지적했다.
MFA 우회 공격 가능…엔드포인트 보안 쉽지 않아
우선 VPN과 VDI는 DMZ 내에 위치하기 때문에 공격자가 보안 장치 없이 DMZ까지 도달할 수 있다는 일차적인 문제가 있다. 다양한 엔드포인트를 이용하는 원격근무 환경에서 스피어피싱·워터링홀 공격에 무차별적으로 당할 수 있으며, 감염 후 자격증명을 탈취하고 수평이동을 통해 감염 범위를 쉽게 확장할 수 있다.
코로나19 감염자 발생으로 급히 재택근무를 시행하는 기업의 경우 직원 소유 엔드포인트 보안을 점검하지 못하고 액세스를 허용할 수 있는데, 이 때 자격증명 탈취와 악성코드 감염 확산 등의 문제가 발생할 수 있으며, 보안 조직이 통제할 수 없게 된다.
더불어 재택근무 직원이 갑자기 늘어나면서 VPN 통신이 증가하고 비즈니스 연속성을 보장할 수 있는 VPN 인프라 안정성을 보장하지 못한다. 공격자들이 무단으로 계정에 접근하려다가 인증 시도 허용 횟수를 초과해 정상 사용자의 계정 접근까지 중단돼 업무 중단을 피할 수 없게 된다. 이 같은 문제가 급증하면서 보안조직의 업무가 마비되는 수준으로 대응해야 하는 일도 발생한다.
제로 트러스트는 외부 포털을 통해 일정한 수준의 보안 통제를 받고 난 다음 내부 네트워크로 접속할 수 있어 VPN·VDI보다 상대적으로 안전하다. 그러나 접속을 시도하는 기기의 신뢰를 확인하고, 관리되지 않은 장치가 액세스 하는 것을 막는 문제는 여전히 해결되지 못한다. 다양한 장치의 신뢰 여부를 확인하는 인증서 관리가 어렵고, 등록되지 않은 기기를 이용하는 환경에 대해서도 보완책이 필요하다.
다단계 보안·임직원 보안 인식 교육 필수
파이어아이는 이 같은 문제를 해결하고 안전한 재택·원격근무를 완성하기 위해 다음의 문제를 고려해야 한다고 조언했다.
▲다단계 인증= 재택근무·클라우드를 포함한 모든 외부 리소스까지 MFA를 구성한다. 재해복구(DR), VPN 등 기존에 사용중인 오래된 인프라까지 적용할 수 있는 가볍고 유연한 MFA를 도입해야 전사 일괄적인 다단계 인증 체계를 유지할 수 있다. 또한 MFA로 인해 비즈니스 중단이 발생하지 않도록 시스템 관리 플랫폼을 이용한다.
▲엔드포인트 통제와 가시성= 다종 다양한 엔드포인트를 사용하는 원격·재택근무 환경을 보호하기 위해서는 다중계층 엔드포인트 에이전트를 통해 악의적인 활동을 탐지하고 보호하며 대응할 수 있어야 한다. 로컬 관리자 권한을 제어해 공격자가 권한 상승을 통해 치명적인 공격 행위를 하지 못하도록 해야 한다. 더불어 가상화 응용프로그램과 데스크톱의 보안 체계도 마련해야 한다.
▲클라우드 가시성과 제어= 허가되지 않은 클라우드를 통해 정보가 유출되는지, 허가된 클라우드에 대한 무단 액세스 시도가 이뤄지는지, 중요한 정보가 보안 정책을 무시하고 유통되는지 실시간 검토해야 한다.
▲사용자 보안 인식 교육= 원격 작업자를위한 보안 인식 교육을 실시해 스피어피싱, 계정관리 등의 보안 위협에 선제 대응할 수 있도록 한다. 레드팀-블루팀으로 나눈 모의훈련을 통해 지속적으로 보안 수준을 평가하고 교육 효과를 점검한다. 특히 도메인 관리자와 같은 권한있는 사용자는 별도의 계정을 유지 관리해야하며, 계정 관리 전용 기기의 액세스 권한을 강력하게 관리한다.
▲원격 접속 권한 관리= 가상 데스크톱의 네트워크 외부 통신을 제한하고 노출을 제한한다. 외부 네트워크 액세스가 필요하면 반드시 필요한 리소스만 접근을 허용하며, DNS 및 IP 관리 등의 문제도 확인한다.
▲물리적 통제= 사용자에게 필요한 장비를 제공하고 프라이버시 화면, 장치 잠금과 엔드포인트 강화를 포함한 프라이버시 모범 사례에 대한 교육을 시행한다. 랩톱 분실·도난시 대응을 위해 전체 디스크를 암호화 제어하고, 키와 비밀번호를 관리해야 한다.
▲섀도우 IT= 승인되지 않은 방식으로 서비스를 이용하려는 임직원의 요구에 지혜롭게 대응하는 것이 필요하다. 정기적인 취약성 검색, 적극적으로 사업부 참여, 침투 테스트를 통해 무단 원격 액세스 방법을 지속적으로 모니터링해야한다.
