ID·상황인지 기술로 지능적인 침해 시도 차단
[데이터넷] ‘세계 역사는 코로나 이전(BC: Before Corona)과 코로나 이후(AC·After Corona)로 새롭게 쓰일 것’이라는 말이 유행처럼 돌고 있다. 높은 감염율과 치사율을 기록하고 있는 ‘코로나19’는 사람들의 이동과 모임을 극도로 제한하고 있어 모든 업무와 일상을 온라인에 의존하게 하고 있다. 이에 따라 온라인 연결성이 매우 중요한 이슈로 떠올랐으며, ‘안정적인 연결과 보안’이 ICT의 새로운 화두로 떠오르고 있다.
원격지의 안전한 연결을 위해 가장 기본적으로 VPN이 사용되지만, 클라우드 환경에서VPN이 필수적인 것은 아니다. 예를 들어 클라우드 기반 협업 솔루션, 영상회의 솔루션은 VPN과 같은 별도의 하드웨어 구축 없이도 이용 가능하다. 그러나 보안을 고려하지 않은 협업 솔루션으로 인한 심각한 보안 문제가 드러나고 있다. 대표적인 예로 ‘코로나19’ 최대 수혜주로 꼽힌 ‘줌(Zoom)’은 심각한 보안 취약성이 잇달아 공개되면서 세계 각국과 기업들이 줌 사용을 금지했다.
제로 트러스트 원격접근으로 VPN 한계해결
재택·원격근무 환경에서 고려해야 할 문제는 매우 많다. 집이나 원격지에 있는 사람이 업무 시스템에 안정적으로 접근할 수 있어야 하며, 비용이 과다하게 소요되지 않고, 직원이 가진 기기로도 안전하게 업무를 할 수 있어야 한다.
전통적인 VPN은 이 같은 문제를 해결하는데 한계가 있다. VPN 내에 심각한 취약점이 있다는 사실이 잇달아 공개되고 있으며, 애플리케이션에 먼저 접속한 후 사용자를 인증하는 방식으로 인증정보를 탈취한 공격자가 접근했을 때 식별하지 못한다.
김도균 아카마이코리아 본부장은 “VPN은 대부분의 사람들이 사무실에 출근해 업무를 하던 때에 만들어진 기술이다. VPN이 생겨난 때는 접속 경계와 IT 경계가 매우 분명했던 시대였고 사용하는 디바이스 종류도 매우 제한적이었으며, 공격의 정교함과 빈도 또한 현재보다 훨씬 낮은 수준이었다”며 “전통적인 VPN은 그 자체만으로 심각한 보안위협이 될 수 있다”고 지적했다.
아카마이는 제로 트러스트 기반 원격접근 솔루션 ‘엔터프라이즈 애플리케이션 액세스(EAA)’를 통해 VPN의 한계를 해결한다. EAA는 최소권한 전략을 채택해 사용자가 과도한 권한을 부여받아 야기할 수 있는 보안 리스크를 최소화한다. 인증받은 사용자가 모든 애플리케이션에 접속할 수 있는 것이 아니라 필요한 네트워크에만 접속할 수 있도록 제한해 공격의 수평이동을 제어하며, 모든 트래픽의 의심스러운 활동을 검사하고 로깅해 보안 탐지와 대응을 개선한다.
김도균 본부장은 “EAA는 재택근무나 모바일 근무 환경에서 안전하게 애플리케이션에 접근할 수 있도록 도우며, 외근을 위한 업무 애플리케이션, 본사·대리점·딜러 간 주문접수와 정보공유, 콜센터 업무용 애플리케이션, 원격개발자를 위한 개발환경, 해외 지점 직원의 본사 업무 접속 등 다양한 환경에서 유용하게 활용되고 있다”고 말했다.
상황인지·ID 중심 접근 전략 채택
VPN이 가진 치명적인 결함은 애플리케이션에 먼저 접속한 후 인증한다는 것이다. 인증 정보를 탈취한 공격자는 쉽게 애플리케이션을 찾아 접속할 수 있어 방화벽·IPS로 보호하고 있는 네트워크 관문을 뚫지 않고 쉽게 공격 목표에 도달할 수 있다.
신기욱 F5코리아 상무는 “재택근무 시 ▲올바른 사용자만 ▲올바른 장소에서 ▲올바른 장치를 사용해 ▲올바른 구성으로 ▲올바른 애플리케이션에 액세스 할수 있어야 한다”며 “VPN 기본 기능인 인증·인가·감사(Authentication, Authorization, Audit)를 수행하면 원격 접속이 안전하다고 생각할 수 있으나, 이는 현재의 변화된 환경을 보호하는데 충분하지 않다. 제로 트러스트 보안을 접목해 디바이스 감시 기능을 적용해야 안전한 원격접속이 가능하다”고 조언했다.
F5네트웍스 ‘BIG-IP APM’은 상황인지 기술과 ID 중심 관리를 접목한 제로 트러스트 접속을 지원하며, SAML, Oauth, OIDC 등 최신 인증 기술을 지원하지 않는 애플리케이션까지 연동된 인증 정책을 적용할 수 있다. 2차 인증과 지속적인 디바이스 무결성 검증, 애플리케이션 무결성 검증, 사용자 접근 권한 제어, 접근 지역·시간 등을 확인하고 부적절한 장소나 시간대 접근을 차단한다.
