[데이터넷] 원격 액세스를 위해 사용하는 VPN은 태생적으로 보안에 취약하다. 특히 보안 경계가 사라지는 클라우드 환경에서는 VPN을 대체하면서 보안과 사용자 경험을 개선할 수 있는 기술이 필다. 제로 트러스트 원칙의 보안 원격 액세스 도입 시 고려사항을 알아본다. |인승진 지스케일러 전무|

전통적으로 가상 사설망(VPN)은 기본적인 원격 액세스 지원을 위해 사용됐으나, 분산된 인력의 급속한 증가와 클라우드 기술 채택 증가로 VPN의 기본적인 연결만으로는 해결할 수 없는 다양한 위협에 직면하게 됐다.

위협 환경이 진화하면서 VPN은 조직이 필요로 하는 세분화된 보안 접속을 제공할 수 없게 됐다.다. VPN은 기업 네트워크에 대한 전체 액세스를 제공하기 때문에, 악의적인 공격자가 로그인 자격 증명을 통해 액세스 권한을 획득하면 다양한 사이버 공격을 수행할 수 있다. 여러 사이트 연결, 서드 파티 액세스 허용, 디바이스에 대한 충분한 제어 없는 접속 허용, IoT 디바이스 연결 활용 등 연결에 집중한 VPN의 활용은 점점 더 복잡하고 변화하는 위협 환경 속에서 보안 공백이 되고 있다.

VPN 취약성으로 제로 트러스트 부상

지스케일러의 ‘2023년 VPN 위험 보고서’에 따르면 설문 응답자의 92%가 제로 트러스트 아키텍처 채택의 중요성을 인식하고 있으나, 많은 조직이 여전히 원격 사용자, 협력업체 등의 연결에 VPN을 사용해 의도치 않게 외부 위험에 노출돼 공격 대상이 되고 있다는 점에 우려를 표하고 있다.

보고서를 살펴보면, 조직의 88%가 VPN 취약점으로 인한 잠재적 위반에 깊은 우려를 표명하고 있었다. 조직은 정기적인 VPN 사용으로 인해 발생할 수 있는 피싱(49%)과 랜섬웨어(40%)를 가장 우려하고 있었다.

조직의 거의 절반이 오래된 프로토콜이나 정보 유출과 같은 VPN 취약점을 악용할 수 있는 사이버 공격자의 표적이 됐으며, 5명 중 1명은 지난해 공격을 경험했다고 보고했다. 랜섬웨어는 지난 1년 동안 33%가 VPN에 대한 랜섬웨어 공격의 희생양이 되면서 조직의 중요한 적으로 부상했다.

제3자 사용자가 가장 큰 보안 관심사

다양한 보안 조치에도 불구하고 연구에 따르면 조직의 90%는 공격자가 네트워크에 대한 간접적인 백도어 액세스 권한을 얻기 위해 서드파티 공급업체를 악용하는 것에 대해 크게 우려하고 있다. 계약자·공급업체와 같은 외부 사용자는 다양한 보안 표준, 네트워크 보안 관행에 대한 가시성 부족, 외부 타사 액세스 관리 복잡성으로 인해 조직에 잠재적인 위험이 되고 있다.

기존의 네트워킹·보안 아키텍처는 사용자에게 네트워크에 대한 직접 액세스를 제공해 내부 애플리케이션에 대한 액세스를 관리한다. 본질적으로 액세스 포인트에서 자신의 자격 증명을 확인할 수 있는 사용자를 신뢰하므로 해당 자격 증명이 도난당할 경우 문제가 발생한다. 이러한 문제로 인해 제로 트러스트 접근 방식을 통해 사용자는 네트워크가 아닌 필요한 앱과 리소스에 직접 연결이 필요하게 된다.

-애플리케이션, 애플리케이션-애플리케이션 연결은 측면 이동의 위험을 제거하고 손상된 장치가 다른 리소스를 감염시키는 것을 방지할 수 있으며, 와 앱은 인터넷에 보이지 않으므로 외부에서 발견하거나 공격대상이 되는 것을 피할 수 있게 된다.

열악한 사용자 경험

보안 문제 외에도 사용자의 72%는 느리고 신뢰할 수 없는 연결로 인해 현재 VPN 환경에 만족하지 않고 있다. 특히 25%는 느린 애플리케이션 속도로 불만을 품고 있으며 21%는 빈번한 연결 중단에 직면하고 있다.

신뢰할 수 없는 인터넷 연결이 열악한 사용자 경험을 가져오면서 사용자 참여를 떨어뜨리게 된다. 또한 인증 복잡성과 마찰로 인해 생산성 손실, 수익 감소, 비효율적인 VPN 서비스를 우회하는 방법을 찾는 사용자의 데이터 손실 위험 증가로 이어질 수 있다.

제로 트러스트로의 전환과 고려사항

오래된 VPN이 이러한 보안 및 사용자 경험 문제를 야기하고 있음을 인식하고 있는 조직은 제로 트러스트 아키텍처로 이동하기 시작했으며, 자산과 데이터를 보호하기 위해 제로 트러스트 접근 방식을 채택하는 것이 중요하다는 점을 인식하고 있다.

제로 트러스트 전환을 위해서는 다의 항목에 대한 준비와 검토가 필수적이다.

현재 인프라 평가: 기존 인프라 현황과 사용자 VPN 활용 문제를 이해하고 확인한다.

올바른 솔루션 선택: 현재 인프라에 대한 평가를 기반으로 보안 목표를 설정하고, 기업의 고유한 요구 사항에 맞는 제로 트러스트 솔루션을 선택한다.

최소 권한 액세스 구현: 기존의 방식과 다른 사용자에 대한 최소한의 권한을 제공할 수 있도록 구현한다. 최소한의 권한을 통한 보안 적용은 제로 트러스트의 기본 요소이다.

확장성을 위한 계획: 변화하는 보안과 비즈니스 환경에 따라 확장할 수 있는 솔루션을 선택해야 한다. 하드웨어 기반 솔루션보다 확장·관리가 용이한 클라우드 솔루션을 고려하는 것이 좋다.

보안 정책에 대한 정기적인 검토 및 업데이트: 보안 정책을 지속적으로 검토하고 업데이트하는 것은 보안을 효율적으로 강화하는 주요한 방법 중 하나다. 이를 통해 좀 더 강력한 보안 태세를 유지할 수 있다.

모든 사용자에게 보안 액세스 사용: 원격 직원, 타사, 관리되지 않는 디바이스에 대한 보안 액세스를 제공하는 솔루션을 채택해 활용한다. 이를 위해 다양한 사용자 플랫폼 환경을 함께 고려해야 한다.

지속적인 모니터링: 지속적인 모니터링을 통해 잠재적인 문제를 식별하고, 문제가 확산되기 전에 적절한 대응이 이뤄 질 수 있는 프로세스를 정리한. 사전 위협 탐지·대응은 강력한 제로 트러스트 구현의 핵심이다.