NSP통신

(서울=NSP통신) NSP인사 기자 = 최근 들어 북한의 해킹으로 의심되는 해커들의 공격으로 여러 방위산업체들에 대한 핵심기술 및 정보유출 가능성과 향후 대규모 공격에 대한 우려도 높아지고 있다. 당국은 특정 VPN(Virtual Private Network)제품이 갖고 있는 취약점의 원인에 대하여 새로운 패치 등을 통하여 우선 조치를 했다고 한다. 그렇지만 그런 단순한 처방으로 미래의 취약점들에 대해서도 근본적 해결이 가능해 질지는 여전히 의문으로 남는다. 따라서 이제는 VPN을 뛰어넘는 대안을 공론화하고 가능하다면 적극적으로 실행할 때이다.

VPN은 지난 20여년 동안 인터넷 통신 환경에서 비용을 줄이고 전용선에 준하는 역할을 잘 수행하여 왔다. 그렇지만 해킹 기술의 발달과 VPN기술 구조의 한계로 현재와 같은 디지털 팬데믹에 준하는 상황이 발생한 것이다. VPN은 인터넷 등 통신 구간에서 양 접속 지점간 데이터를 암호화하는 터널을 형성하여 외부로부터 해킹을 막아주는 역할을 한다.

그렇지만 문제가 될 수 있는 부분은 인터넷처럼 오픈 된 환경에서 최초 접속 요구자가 누구인지 확인되기도 전에 내부서버와 연결될 수 있는 통신IP(Internet Protocol)가 노출되어 내부시스템에 대한 공격의 원인을 제공할 수도 있다. 이것은 외부 단말기가 내부와 접속된 이후에 인증(선 접속 후 인증)을 받는다는 것을 기본으로 하는 VPN의 한계 중의 하나이고, 접속자가 외부 해커인지 정상적으로 접속을 요구하고 있는 사용자 인지 구분하기 어렵기 때문에 해킹 고수들의 타겟이 될 가능성은 언제든지 열려 있다고 본다.

인터넷 및 클라우드 등 오픈 된 환경에서 외부자의 공격에 대한 방어를 위해서 뿐만 아니라 각 기관에 기 적용된 통신망 분리 환경에서 내부망내 인력들 간의 기술유출 방지 및 정보보호를 위해서 혁신적 새로운 개념의 필요성은 더욱 증가하고 있다.

그렇다면 VPN기반으로 외부접속 단말기들을 더 안전하게 방어할 수 있는 방법은 무엇일까? 내부나 외부의 누구도 믿지 않는다는 ‘제로 트러스트(Zero trust) 개념’을 도입하는 것이다.

제로 트러스트 또는 소프트웨어 정의 경계(SDP: Software Defined Perimeter) 개념은 최초 접속 요구자의단말 및 프로그램들을 별도의 통신IP를 통해 사전에 인증하고, 성공적으로 인증된 경우에만 내부서버와 접속이 가능한 통신IP에 접속을 허가해 주는 선인증 후접속 방식이며 VPN과 정반대의 접속 절차로 수행되므로 최근 발생된 VPN해킹을 막아주는 해결 방법 중 하나가 될 수 있다.

최근 해킹 문제로 골머리를 앓고 있는 미국에서도 금년 5월에 대통령 행정명령을 통해서 제로트러스트 방식의 활성화를 사이버보안 현대화의 모범사례(Best Practices) 중의 하나로 조치할 것을 요구 중 인 것으로 알려지고 있다. 다행이도 국외는 물론이고 국내의 여러 기업들도 제로트러스트 개념을 구현한 국산 제품을 등장시키고 있으며, 이를 채택하는 기관이 늘어나고 있어 더욱 더 적극적으로 도입을 검토하는 움직임이 있었으면 한다.

그렇다면 최근처럼 재택근무의 일상화 및 클라우드 시스템 활용 증가로 기업, 공공 및 금융기관 등에서 외부단말 접속 SW형 VPN 사용이 급증하는 환경에서 해킹발생 가능성을 줄이는 방법은 없을까?

대부분의 기관들은 오랜 기간동안 핵심 보안 인프라로 잘 운영해 오던 VPN을 단기간 내에 조치하는 것은 쉽지 않을 것이기 때문에 기존 보안체계와 혁신적인 보안기술을 병행하면서 점진적으로 적용해 가는 방법도 있다. 현황을 평가하고 신규업무 추진 또는 시스템 교체시마다 보안성을 최우선으로, 경제성 및 효율성 등을 고려하여 최적의 방안을 찾아 적용해야 할 시점이다.