[데이터넷] 재택근무 중인 A씨는 집에서 원격수업을 해야 하는 자녀가 자신의 PC로 수업에 접속할 수 없다며 급히 태블릿PC를 쓰겠다고 가져갔다. 잠시 후 자신이 해외에서 접속을 시도했다는 경고와 함께 회사 계정 접속이 차단됐다. 태블릿은 A씨 업무 계정으로 로그인 한 상태였는데, 자녀가 A씨의 태블릿에 VPN을 설치하고 해외 접속으로 위장해 게임을 하려고 했던 것이다.

이 처럼 재택근무 중 발생하는 보안위반과 침해 시도로 인해 기업·기관의 사이버 보안 리스크가 높아지고 있다. 코로나19를 계기로 재택·원격근무가 확산되고, 디지털 트랜스포메이션의 일환으로 클라우드 도입이 가속화되면서 업무 유연성과 비즈니스 민첩성이 높아졌는데, 사이버 보안 위협 역시 이전에 비해 훨씬 증가한 것이다.

메리 조 슈레이드(Mary Jo Schrade) 마이크로소프트 아시아 사이버범죄 대응조직(DCU) 책임자는 18일 온라인 기자간담회를 통해 “재택·원격근무는 전통적인 업무환경보다 보안에 취약할 수 밖에 없다. 비밀번호 관리조차 되지 않은 가정용 공유기에 패치되지 않은 다양한 홈 IoT 기기가 연결돼 있어 재택근무자를 쉽게 감염시킬 수 있다. 또 원격·재택근무를 위한 다양한 클라우드 애플리케이션이 사용되면서 보안이 검증되지 않은 애플리케이션이나 위장 애플리케이션으로 인한 위협도 증가하고 있다”고 지적했다.

사용자 경험 보장하는 단순하고 강력한 보안 정책 필요

재택·원격근무로 인한 문제는 코로나19 기간에만 국한된 것은 아니다. 기업·기관은 오래 전 부터 생산성 향상과 비용절감을 위해 집이나 원격지 등 어디서나 일하는(WFA) 환경을 지향해왔다. 코로나19로 WFA 도입 시기가 앞당겨졌으며, WFA의 효과를 실감한 조직은 코로나19 이후에도 일부 직원에 대해 재택·원격근무를 유지할 계획이라고 밝힌다.

재택·원격근무와 사무실 내에서 근무하는 하이브리드 업무환경이 정착되면 보안 정책도 기존과 다른 접근이 필요하다. 보안 경계가 ‘ID’로 내려오면서 다양한 보안 위협을 고려하게 됐으며, 이로 인해 제로 트러스트 보안 모델이 필수로 요구된다.

바수 자칼(Vasu Jakkal) 마이크로소프트 보안, 컴플라이언스 및 아이덴티티 기업 부사장은 “하이브리드 업무 환경에서 보안 정책은 제로 트러스트 철학으로 재편돼야 한다. 회사 내 혹은 외부에 있는 직원과 계약직, 고객, IoT 기기 등에 부여된 ID를 검증하고, 보안 정책과 컴플라이언스를 준수하는지 검증하며, 정해진 정책에 따라 데이터를 다루고 보호하는지 상시 모니터링 해야 한다”고 설명했다.

그는 이어 “보안예산과 전문가가 부족한 SMB는 재택·원격근무에 특히 더 취약하다. 이들을 위해서는 완벽하게 빌트인 된 보안을 통해 사용자 경험과 관리 편의성을 높여야 한다. 하이브리드 업무 환경에서는 사용자 경험을 보장하면서 단순하지만 강력하게 보호되는 보안 정책이 필요하다”고 강조했다.

“해커는 침입하지 않고 로그인한다”

제로 트러스트는 ‘비신뢰’를 전제로 설계된 보안 철학으로, 명확한 검증과 초소한의 권한 액세스 부여, 침해 가정 등의 원칙으로 하이브리드 업무 환경을 보호한다. 특히 명확한 검증으로 정상 사용자와 무결성이 검증된 기기만 업무에 접속하도록 하는 ID 관리가 제로 트러스트를 시작하는 첫 단추라고 할 수 있다.

브렛 아세놀트(Bret Arsenault) 마이크로소프트 정보보호최고책임자(CISO)는 “해커들은 침입하지 않고, 로그인 한다”고 말한 바 있는데, 해커들은 쉽게 획득할 수 있는 계정 정보를 갖고 정상 사용자로 위장해 접근한다는 뜻이다.

계정보안을 위해 길고 복잡한 암호를 정기적으로 변경해서 사용할 것을 요구하지만, 길고 복잡하고 관리하기 어려운 비밀번호는 사용자를 불편하게 할 뿐, 공격을 어렵게 하지 않는다. 공격자들은 자동화된 봇을 이용해 비밀번호를 탈취하기 때문에 아무리 길고 복잡한 비밀번호라도 쉽게 탈취 가능하다. 계정 보안을 위해서는 위험 정도에 따른 다중요소인증(MFA)이 필수로 요구된다.

마이크로소프트는 ‘애저 액티브 디렉토리’에 ‘암호없는 인증’과 ‘임시 액세스 패스’를 부여해 사용 편의성을 강화하면서 공격 가능성을 낮춘다. 또 ‘애저 AD 조건부 액세스’와 B2C 애플리케이션 및 사용자를 위한 ‘아이덴티티 프로텍션’을 제공해 세분화된 적응형 액세스 제어를 확장한다.

사용자 계정을 탈취한 공격자가 정상 사용자 계정을 도용해 접근하는 것을 차단할 수 있도록 마이크로소프트는 ID와 기기를 통합시키는 필터 기능을 추가했다. 더불어 모바일 기기를 통한 데이터 유출을 차단하기 위해 엔드포인트 매니저의 애플리케이션 보호 정책에 탈옥·루팅 된 기기에 대한 액세스를 차단하고 데이터를 삭제하며, 안드로이드 기기가 세이프티넷 증명을 통과하도록 한다.

최소 권한 원칙을 위해 중요 업무로 접근을 시도하는 기기가 정상 사용자가 사용하는 신뢰된 기기인지, 취약점을 악용한 공격자의 접근 가능성은 없는지 확인해야 한다. 마이크로소프트는 엔드포인트용 마이크로소프트 디펜더에 관리되지 않은 기기를 검색하고 보호 정책을 적용하는 기능을 추가했으며, 취약점 악용을 방지하기 위해 윈도우, 맥OS, 리눅스 등 다양한 플랫폼에서 마이크로소프트 디펜더를 사용할 수 있도록 한다.

‘이미 침해당했다’ 전제로 보안 정책 운영해야

최근 공격자들은 정교하게 타깃화된 공격을 진행하며, 특히 이메일이 공격에 주로 이용된다. 슈레이드 책임자는 “위협의 90% 이상이 이메일을 통해 진행되며, 완벽하게 타깃 맞춤형으로 전개된다. 이는 사용자의 주의만으로 막을 수 없다는 뜻”이라며 “마이크로소프트는 새로운 공격 시나리오를 적용해 타깃 맞춤형 공격을 제어할 수 있도록 도와준다”고 설명했다.

마이크로소프트는 사전에 설정된 보안 정책과 구성 애널라이저, 오버라이드 경고 등을 오피스365 용 마이크로디펜더에 추가해 새로운 공격에도 대응할 수 있게 한다. 이메일에 악의적인 내용이 포함돼 있으면 사용자에게 전달하지 않는 등의 기능이 기본으로 제공한다.

이 기능은 제로 트러스트의 ‘이미 침해당했을 수 있다’는 전제를 위한 보안 기능 중 하나로, 마이크로소프트는 모든 행위를 검증하고 모니터링 해 침해되지 않다는 사실을 증명한 후에만 업무를 할 수 있도록 한다.

마이크로소프트는 엔드포인트, 이메일, 협업을 위한 XDR 기능을 통합하고 단순화하는 ‘마이크로소프트 365 디펜더 통합 포털’을 통해 이미 진행되고 있는 침해까지 효과적으로 대응할 수 있게 한다.

완벽한 통합으로 SOC 단순화

공격이 복잡해지면서 보안운영센터(SOC)의 업무가 폭증해 보안위협은 한층 더 높아진다. 그래서 마이크로소프트는 SIEM·SOAR 통합 시스템 ‘애저 센티넬’에 타사 솔루션을 동시에 통합할 수 있는 커넥터, 탐지 룰, 플레이북, 워크로드 등을 하나의 패키지로 구축할 수 있도록 단순화 했다.

더불어 SOC 팀간 소통을 지원하기 위해 마이크로소프트 팀즈를 애저 센티넬에 통합해 인시던트에서 직접 팀즈 콜을 생성 할 수 있게 한다. 또한 UEBA를 추가해 AI/머신러닝으로 분석된 추가 정황정보를 통해 실제 이상징후를 효과적으로 탐지할 수 있다.

메리 조 슈레이드 책임자는 “하이브리드 업무 환경에서는 SOC가 처리해야 하는 이벤트가 기하급수적으로 많아진다. 실제 인시던트와 노이즈를 분리할 수 있도록 AI·머신러닝이 반드시 필요하다”며 “애저 센티넬을 사용한 보안 전문가들은 AI가 적용된 인시던트의 92% 이상이 유용하다고 평가했다. 이는 SOC가 중요도가 높은 업무에 집중할 수 있게 됐다는 뜻”이라고 설명했다.

마이크로소프트는 애저 디펜더의 클라우드 지원 기능을 서버, SQL, 애저 아크를 사용하는 쿠버네티스까지 확장했으며, 애저 센티넬용 SAP 위협 모니터링 솔루션 퍼블릭 프리뷰를 통해 애플리케이션까지 보호하는 기능을 확장한다. 더불어 마이크로소프트 클라우드 앱 시큐리티에 클라우드에서 발생하는 의심스러운 앱 활동과 데이터 유출 시도를 탐지하고, 최근 클라우드 기반 공격에 대응할 수 있도록 한다.

바수 자칼 부사장은 “공격이 복잡해지고 일상화되면서 모든 사람이 공격 당할 수 있다는 사실을 염두에 두어야 한다. 마이크로소프트와 함께 제로 트러스트 여정을 같이 하면서 임직원과 고객, 비즈니스를 효과적으로 보호하길 바란다”고 밝혔다.