[데이터넷] 코로나19가 누구도 예상하지 못할 만큼 장기화되면서 재택근무가 일상 업무 환경으로 자리잡았다. 재택근무를 갑자기 시행해야 했던 코로나19 초기에는 급히 업무용 노트북을 지급하거나 직원 개인 소유 기기를 이용해 VPN으로 업무에 접속하도록 했다. 이는 업무하기에 불편하고 보안에 취약했기 때문에 보안과 업무 편의성 문제를 근본적으로 해결한 방법이 필요하게 됐다.

채홍소 퀘스트소프트웨어코리아 부장은 “미국 국립표준기술연구소(NIST)에서 재택근무 주요 보안위협으로 사용자 기기와 안전하지 않은 네트워크 사용을 들었다. 재택근무에 사용되는 기기는 해킹되거나 분실·도난으로 인한 위협이 높고, 취약한 공용 유무선 네트워크는 중간자 공격 등을 당할 수 있다. 네트워크 보안을 위해 VPN을 사용하는데, VPN 사용량이 늘면서 취약점 공격이 급증하고 있다”며 “재택근무 보안 취약점을 이용해 내부자의 원격접근과 중요 데이터의 유출 위협이 높아지고 있어 대안 마련이 시급하다”고 말했다.

재택근무, 단말·네트워크 보안문제 심각

채홍소 부장은 <데이터넷TV> 웨비나 ‘재택근무 환경을 위한 ZTA와 실시간 내부위협 탐지’에서 현재 기업·기관이 채택하고 있는 재택근무 환경의 보안 문제를 분석하고, 해결책을 제시했다.

웨비나에서 채 부장은 현재 기업·기관이 채택하고 있는 재택근무 환경의 문제를 분석했다. 가장 심각한 위협이 되는 것은 외부에서 접속하는 단말이다. 기기를 해킹해 중요 정보를 유출하거나, 시스템 내에서 수집한 중요 데이터를 외부로 전송한다. 정보를 빼낼 IP 주소를 직접 주소창에 입력한 후 데이터를 업로드하면, 보안시스템에 탐지되지 않고 정보를 유출할 수 있다.

따라서 해킹을 통한 공격자의 침입을 막기 위해 이중인증·다중인증(2FA·MFA)을 적용해 정상 사용자만이 접근할 수있도록 하고, OS·소프트웨어 최신 버전과 최신 패치를 적용해 제로데이 취약점 공격을 차단한다. 단말 보안 제품을 설치해 실시간 감시 기능을 활성화하고, 디스크 암호화를 적용해 저장된 데이터를 안전하게 관리하는 것도 필요하다. 또한 중앙에서 보안 정책이 제대로 지켜지고 있는지 모니터링해야 한다.

이는 외부 접속 단말에 대한 최소한의 보안수칙일 뿐, 완벽하지는 않다. 보안 솔루션을 설치해도 활성화시키지 않는 경우가 많으며, 최신 보안패치를 강제한다 해도 업데이트 실패 혹은 장애로 다시 패치 이전으로 되돌려야 하는 경우도 부지기수로 일어난다.

또 업무용 단말을 지급하는 것은 비용 부담이 매우 크다. 단말기 구입 비용뿐 아니라 각 기기에 설치되는 OS, 소프트웨어, 보안 솔루션 라이선스가 추가된다.

가변적인 재택근무 정책에 대비하는 것도 어렵다. 재택근무 예상 인원에 맞춰 기기를 준비했는데, 갑자기 예상보다 많은 사람이 재택근무를 하게 됐을 때 대응이 어렵다. 반대로, 평소 준비한 노트북 수량보다 적은 인원이 재택근무할 때 사용하지 않은 노트북에 투자한 비용은 불필요하게 낭비되는 셈이다.

업무용 단말을 지급하지 않고 직원 개인 소유의 기기를 사용해야 할 경우, 회사 보안 솔루션을 설치하거나 디스크 암호화를 적용하는 등의 보안 정책을 적용할 수 없어 보안위협이 너무 높아진다.

이 문제를 해결하는 안전한 방법은 VDI이지만, VDI 역시 높은 비용 문제를 고민해야 한다. VDI 서버 인프라와 라이선스 구입은 물론이고, VDI 가상 PC에서 사용하는 소프트웨어 라이선스까지 고려해야 한다. VDI 클라이언트에서 서버까지 전송되는 속도 문제로 업무에 지장을 초래할 수 있다.

채홍소 부장은 “모든 위협에서 단말을 완벽하게 보호하기는 매우 어렵지만, VDI를 이용하면 단말을 별도로 구입하지 않고, 직원 개인 소유 기기로도 안전하게 접속이 가능하다. VDI는 사내에서와 동일한 보안정책을 유지할 수 있으며, 중앙통제가 가능하다. 그러나 VDI 역시 비용이 많이 들고 관리포인트가 늘어나며 속도·장애 등의 문제로 업무에 영향을 줄 수 있다”고 지적했다.

안전하지 않은 네트워크 역시 재택근무를 위협하는 요인 중 하나로, 보호되지 않은 공공 와이파이나 보안에 취약한 홈 네트워크를 이용하면 쉽게 공격당할 수 있다. VPN은 이러한 네트워크보다 안전하지만, VPN 취약점 악용 공격이 늘어나면서 심각한 위협이 되고 있다.

채 부장은 “보안은 ROI의 싸움이다. VPN 사용 사례가 많지 않았던 예전에는 VPN 취약점이 지금처럼 일상적인 위협이 되지 않았다. 그러나 VPN이 대규모로 사용되면서 공격이 쉬워졌기 때문에 VPN 취약점을 찾아 공격하는 사례가 늘어났다”며 “또 VPN은 연결된 후 사용자의 행위를 검사하지 않아 단말을 감염시킨 공격자가 VPN에 연결됐을 때 시스템으로 침투하거나 VPN 서버 계정을 훔쳐 원격에서 무단 침입할 수 있다”고 지적했다.

업무용 단말·VPN 없이 재택근무 구축

퀘스트소프트웨어는 단말과 네트워크 보안 취약점 문제를 해결하면서 편리한 재택근무를 지원하는 ‘세이프가드 리모트 액세스(Safeguard Remote Access)’를 소개한다. 업무용 단말이든 개인 소유 단말이든 상관없이, 보안 프로그램이나 VPN 설치 없이, 브라우저에서 세이프가드 리모트 액세스를 플러그인하는 것만으로 안전하게 업무에 접속할 수 있다.

제로 트러스트 접근(ZTA) 철학을 기반으로 한 ‘세이프가드 리모트 액세스’는 브라우저 플러그인 방식으로 작동하며, 사용자가 접근할 수 있는 애플리케이션으로만 접근 할 수 있게 하고, 허용되지 않은 프로세스는 원천 차단한다. ‘세이프가드 포 프리빌리지드 세션(Safeguard for Privileged Session)’을 통해 연결된 세션에 대해서도 지속적으로 통제한다.

SaaS로 제공되는 세이프가드 리모트 액세스는 필요한 만큼 연결 가능하기 때문에 사용자 증가나 감소에 쉽게 대응할 수 있다. 내부 시스템 접속을 위해 데이터센터 혹은 클라우드에 전용 보안 어플라이언스를 설치하게 되는데, 이 어플라이언스 역시 SaaS로 구축 가능해 클라우드를 통한 재택·원격접속과 통제가 가능하다.

사용자 행위 분석으로 피해 발생 전 차단

외부 기기 단말의 보안위협으로 해킹이나 계정탈취로 공격자가 네트워크에 침입하는 것을 들 수 있다. 이를 방지하기 위해 다중인증(MFA)을 사용하는데, 최근 보안성과 편의성이 높은 MFA가 다수 제안되고 있다.

그러나 MFA 역시 단말 자체가 해킹당하면 무용지물이다. 사용자가 MFA를 통해 인증 받은 후 중요 시스템에 접속할 때 공격자가 함께 들어가 백그라운드에서 사용자 모르게 침해 행위를 할 수 있다.

그래서 엔드포인트에서 사용자 행위를 모니터링하고, 권한 부여시간을 최소화해 일정 시간이 지나면 다시 인증 받게 하는 등의 방법을 사용해 공격자의 행동 범위와 시간을 줄인다. 그러나 이는 피해를 완화하는 것이지 제거하는 것은 아니다.

채 부장은 “위협 ‘탐지’로 공격자의 활동 범위와 시간을 줄이는 것은 보안의 궁극적인 목표가 될 수 없다. 피해를 완전히 제거하지 못하기 때문”이라며 “공격이 실제로 발생하기 전에 지속적으로 검증하고 모니터링해 공격 가능성을 차단해야 한다”고 말했다.

퀘스트소프트웨어는 정상 사용자 권한으로 연결된 세션에서 일어나는 행위를 머신러닝을 이용해 분석함으로써 비정상 적인 행위를 선제적으로 차단한다. 예를 들어 평소 접속하지 않던 시간이나 장소에서 접속해 중요한 데이터 접근을 시도하거나, 서울에서 접속하고 5분 후 부산에서 접속을 시도하는 등의 이상 로그인 시도가 발견됐을 때 차단하거나 보안관리자에게 경고한다.

평소 사용자의 키보드 입력 패턴과 마우스 이동 패턴을 분석해 사용자의 패턴과 다른 행위가 발견됐을 때, 평소와 다르게 다수 데이터 암호화를 시도하는 등의 이상행위에 대해서도 경고한다. 더불어 모든 접근 내역을 데이터화하고, 모든 행위를 녹화하며 실시간 확인한다. 시간대별 접근통제 등을 통해 지능적인 공격자가 보안탐지를 우회해 공격하지 않도록 한다.

채 부장은 “많은 기업들이 재택근무를 편리하게 하기 위해 퀘스트와 유사한 방식의 보안 기술을 제안하지만, 정교한 머신러닝을 통해 사용자의 행위를 분석하고 이상정황을 알려주지 못한다. 퀘스트는 사용자의 습관과 업무 패턴을 파악해 정확하게 정상 행위만을 허용함으로써 재택근무를 안전하게 한다”고 설명했다.

AD 보안으로 침해 가능성 낮춰

단말과 네트워크 보안, 사용자 행위 분석을 통해 재택근무 보안 문제를 대부분 해결할 수 있지만, 이 역시 완벽하지 않다. 완벽한 보안은 세상에 존재하지 않는다. 강력한 사용자 인증과 권한 세션 관리, 사용자 모니터링을 한다 해도 공격자는 예상하지 못했던 틈을 타고 든다. 그중 최근 가장 많은 공격 대상이 된 것이 액티브 디렉토리(AD)다.

공격자들은 AD 서버 취약점이나 AD와 연결된 단말의 취약점을 이용해 AD를 장악하고, AD와 연결된 다른 PC로, 이 PC와 연결된 다른 시스템으로 확장한다. 그러면서 지속적으로 랜섬웨어 공격을 하고 데이터를 유출한다.

AD 타깃 공격이 심각한 수준으로 증가하면서 한국인터넷진흥원(KISA) 등에서 AD 보안 안내서를 제작해 배포하는 등 보안을 강화할 것을 권고하고 있으며, 마이크로소프트 등 글로벌 IT 기업들도 AD를 보호하기 위한 위협 탐지와 모니터링을 권장하고 있다.

AD 보안을 위해서는 AD 서버와 AD 계정 및 서비스를 보호하는 체계를 만들고, 외부 위협이나 정책위반, 이상행위를 탐지하는 실시간 위협 탐지 체계를 만든다. 데이터 기반 분석과 대응체계를 갖춰 위협과 이상행위를 차단하고, 사고 시 즉시 복구할 수 있게 해야 한다.

채 부장은 “AD에서 계정을 생성하고, 이 계정이 중요 시스템에 접근해 대량의 데이터를 수집해 외부 서버로 옮기는 상황이 발견됐다면, 이것이 정상적이 업무활동일 수 있지만 그렇지 않을 수도 있다. 어떤 상황이 비정상적인 행위라고 판단 할 수 있을지는 오랜 기간 축적된 경험과 데이터를 기반으로 한 전문성이 필요한 것”이라며 “퀘스트는 AD 보안 분야에서 가장 오래되고, 가장 많은 고객에게 제공해 온 전문성을 갖고 있다. 국내에서도 AD 보안 분야 대규모 레퍼런스를 가진 유일한 기업”이라고 소개했다.

퀘스트의 ‘체인지 오디터(Change Auditor)’는 모든 행위 이벤트를 수집하고, 체계적으로 접근·탐지할 수 있다. 또 퀘스트의 전문인력은 전 세계적으로 또 국내에서 유일하게 검증된 다수의 구축 경험을 갖고 있어 AD를 통해 일어나는 여러 지능형 위협에 효과적으로 대응할 수 있다.

채 부장은 “보안은 아주 방대한 분야를 아우르기 때문에 한 솔루션으로 모든 비즈니스를 보호할 수 없다. 완벽한 선제방어가 가장 이상적이지만, 완벽하지 않기 때문에 내부탐지 체계를 고도화해 잠재적 위협 요소를 막는 것도 필요하다”며 “촘촘하게 짜인 다계층 보안 체계를 통해 피해가 발생할 가능성을 최소화해야 한다”고 밝혔다.

그는 이어 “퀘스트는 세이프가드 리모트 액세스, 체인지오디터로 안전한 재택근무와 AD 보안을 제공할 뿐 아니라 계정 및 권한관리, 백업·복구 등 다양한 솔루션과 전문 서비스를 이용해 고객이 침해당할 가능성을 낮추고 피해 시 비즈니스 복원력을 높여야 한다”고 강조했다.