MFA로 효과적인 접근 통제…업무용 계정, 개인 계정으로 사용 말아야
[데이터넷] 기업 네트워크 바깥에서 내부 시스템으로 접근할 때 VPN을 주로 사용한다. VPN은 암호화 통신 터널 기술을 이용해 인터넷 망으로도 전용망과 같은 높은 속도와 보안을 제공하는 통신 기술이다.
VPN은 수십년간 사용해 온 안전성이 높은 기술이지만, 완전한 기술이라고는 할 수 없다. VPN에 내재된 심각한 취약점이 잇달아 발견되고 있으며, 사용자 인증정보가 탈취되면 공격자가 VPN을 통해 정상 사용자 권한으로 침투할 수 있다.
원격지에서 사내 시스템에 안전하게 접근하는 기술 중 VDI도 많이 사용된다. 스마트워크를 위해 제안되는 VDI는 사내 중앙 서버에 가상 PC를 두고 사용자 클라이언트는 스크린만으로 사용하는 방식이다. 어떤 디바이스를 사용하든 상관없이 사내 업무용 PC에 접근해 일할 수 있어 안전하다.
그러나 VDI 역시 완벽하지는 않다. 파이어아이는 VPN이나 VDI가 DMZ 내에 구축되기 때문에 공격자가 별다른 장애 없이 사용자 단말을 통해 DMZ까지 들어올 수 있다고 지적했다. DMZ에서 추가 권한을 획득하거나 취약점을 이용해 업무 시스템으로 접근할 가능성이 높아진다.
공격자가 DMZ에서 업무 시스템으로 침입하기 위해 계정 정보를 입력할때, 잘못된 계정 정보를 여러 차례 입력해 허용 횟수를 넘게 되면 관리자가 조치할 때 까지 일정 시간 동안 해당 계정을 사용할 수 없다. 복구할 때 까지 실제 업무 담당자가 정당한 자신의 계정으로 로그인 할 수 없기 때문에 업무 연속성에 심각한 피해를 입을 수 있다.
연결된 후에도 지속적으로 모니터링 해야
최근 주목받는 제로 트러스트 기반 접근 방법은 DMZ 바깥 인터넷 영역에서 사용자와 단말을 인증하기 때문에 VPN·VDI보다 상대적으로 안전하다. 그러나 이 방법 역시 사용자 계정 정보를 탈취하면 위험할 수 있다. 다양한 장치의 신뢰 여부를 확인하는 인증서 관리가 어렵고, 개인 단말을 사용하는 재택근무의 경우 등록되지 않은 기기를 이용하는 환경에 대해서도 보완책이 필요하다.
신기욱 F5네트웍스코리아 상무는 “사용자와 단말, 애플리케이션이 다양한 위치에서 접속을 시도하기 때문에 원격근무·클라우드 환경의 보안 통제는 매우 어려운 일”이라며 “외부망에서 사내 시스템에 안전하게 연결하기 위해 사용자 기반 인증과 접근제어 정책이 필요하며, 연결 후 내부 시스템의 어느 시스템까지 연결 가능한지 권한제어도 마련돼야 한다. 그리고 해당 사용자가 수행한 전체 내역에 대해서도 모니터링하고 감시해 피해가 발생하지 않도록 해야 한다”고 말했다.
상황 인지 기반 접근통제 필요
사용자 계정은 공격자가 너무나 쉽게 획득할 수 있는 정보다. 이미 거의 대부분의 계정정보는 공격자의 손에 있으며, 다크웹에서 쉽게 구입할 수 있다. 보안이 취약한 스마트홈 기기의 정보를 훔쳐 업무 계정 정보를 유추해 다른 공격에 사용할 수 있다. 많은 사람들이 업무용 계정 정보와 개인용 계정 정보를 동일하거나 유사한 조합으로 사용하기 때문이다.
보안 조직은 임직원에게 계정 정보를 안전하게 관리할 것을 교육하고 보안 정책을 만들어 지키도록 강제하고 있지만, 모든 임직원이 이러한 보안 수칙을 잘 지키지는 않는다. 몰라서 혹은 귀찮아서 지키지 않는 임직원을 믿고 계정 관리를 맡길 수는 없다.
따라서 업무의 중요도에 따라 다단계 인증 정책을 적용해 중요한 업무에 접근할 때에는 반드시 사용자 본인과 단말의 무결성을 확인하고 상황에 맞는 접근 정책을 적용한다. ID/PW 만을 사용해서는 안되며, 추가인증 수단을 이용하는 다중인증(MFA) 체계가 반드시 필요하다. 추가인증 수단으로 생체인증, OTP, QR코드 인증, SMS 인증 등이 제안된다
더불어 사용자 디렉토리 서비스인 LDAP 중앙 인증 서비스와 RADIUS 인증을 이용해 재택근무자들이 회사 네트워크에 안전하게 연결되도록 한다. 이러한 서비스는 SSO, 인증서 관리, 방문자 권한 관리 등의 편의기능을 제공해 인증·통제 업무를 간소화할 수 있다.
