[데이터넷] 재택·원격근무 활성화로 VPN 사용량이 증가하면서 VPN 취약점 문제가 연일 발생하고 있다. 우리나라 공공·금융기관은 재택·원격근무 시 반드시 VPN을 이용해야 업무망에 접속할 수 있게 하기 때문에 VPN 취약점 문제가 심각하다.

김창훈 대구대학교수는 2일 ‘2021 사이버 보안 컨퍼런스’에서 ‘망분리 환경에서의 안전한 원격근무 지원 위한 인프라 구성 방안’ 주제의 발표에서 “VPN의 보안 문제를 해결하고, 제로 트러스트 보안 원칙을 기반으로 안전하게 재택근무 할 수 있는 방법을 마련해야 한다”고 주장했다.

VPN은 사용자 기기와 서버를 연결하는 암호화 터널 기술이다. 사용자 기기에서 서버로 전송되는 데이터를 안전하게 보호하지만, 전송되는 데이터나 사용자의 행위에서 이상징후를 탐지하는 솔루션은 아니다. 그래서 VPN 연결 시 악성 애플리케이션이 활성화되어 있어도 VPN은 이를 차단하지 않는다.

사용자 기기에 원격제어 가능 악성코드가 감염돼 있다면 VPN 서버에 접속해서 원격에서 제어할 수 있으며, 설정파일의 취약점을 이용해 로그인 없이 접속할 수 있고, 사용자를 가짜 VPN으로 접속을 유도할 수도 있다.

김 교수는 이 외에도 재택근무 시 보안 요인으로 엔드포인트 보안의 심각성도 강조했다. 엔드포인트는 보호정책을 세우기가 매우 어렵다. 너무 많은 보안 에이전트를 설치하면 리소스 경쟁이 벌어져 장애와 속도지연이 발생해 업무를 불편하게 한다. 보안 솔루션을 우회하는 공격도 많아 충분히 사용자 기기를 보호하지 못한다. 스크린캡처 방지, 화면촬영 방지, 워터마크 등이 데이터 유출 방지로 사용되는데, 이는 너무 쉽게 우회할 수 있다.

많은 기관이 VDI를 이용해 망분리를 했는데, 원격지에서 VDI에 접속해 근무하는 상황에서 발생하는 VDI 서버 취약점도 문제다. 재택근무 시 VDI 서버를 외부망에 두는게 보안의 측면에서 더 좋지만 VM마다 접근제어 정책을 설정해야 해 관리가 복잡하다. VDI 서버를 내부망에 두면 원격지 접속자가 VPN을 이용해 바로 내부망으로 접속하기 때문에 VPN과 엔드포인트 취약점을 이용한 공격이 침투할 수 있다.

허가된 앱으로만 접속토록 해 보안 리스크 크게 낮춰

재택근무 보안의 문제를 해결하기 위해 김 교수는 ‘제로 트러스트’ 기반 보안 정책을 고려해야 한다고 강조했다. 구체적으로 ▲ID 확인 ▲디바이스 확인 ▲역할기반 접근 제어 ▲서비스 확인 등의 원칙을 갖는다. 보호해야 할 서비스가 외부에 노출되지 않도록 하고, 접근하려는 사용자와 기기의 무결성을 확인한 후 인가하며, 역할기반 접근제어와 최소권한 원칙을 적용해야 한다는 것이 중요 요지다.

김 교수는 제로 트러스트 원칙 기반 재택근무 환경을 설정하고 3개월 여 간 VPN 없이 원격에서 안전하게 접근할 수 있는 방법을 테스트했다. 프라이빗 테크놀로지의 솔루션을 이용해 테스트했으며, 사용자에게 접근 가능한 앱을 할당하고, 사용자가 정당한 인증과 권한 확인을 거친 후 해당하는 애플리케이션으로만 접근하도록 했다.

사용자가 외부 리소스에 접근할 때에도 가상 게이트웨이를 통해 허용된 리소스에 인가된 앱에만 접근하도록 했으며, 내부 리소스는 허가 받은 사용자가 아니면 보이지 않게 해 공격자들의 스캐닝을 방지했다.

김 교수는 “VPN 없이 사용자 인증과 행위 분석, 최소권한 원칙에 따른 접근제어 등의 기술을 적용한 제로 트러스트 모델로 재택근무 보안을 강화할 수 있을 것”이라며 “중요 업무망은 외부의 침해로부터 격리하기 위해 망분리를 적용하는 것이 맞는 방향이라고 생각하지만, VPN을 이용한 접속은 재고해야 할 필요가 있다”고 말했다.

김선애 기자 다른기사 보기