반복내용 건너뛰기(skip to main content) 본문 바로가기(Go body) 메뉴 바로가기(Go Menu)
G03-8236672469

오피니언

VPN 해킹 방지…대안은 제로 트러스트와 SDP기술

NSP통신, NSP인사 기자, 2021-11-29 08:41 KRD8
#엠엘소프트

한동우 엠엘소프트 대표컨설턴트

(서울=NSP통신) NSP인사 기자 = 코로나19는 필연적으로 재택근무를 몰고 왔다. 올 8월 4일 기준으로 전세계 코로나19 누적 확진자는 2억 21만 명이며, 세계 인구 77억 5000만명의 약 2.5%에 달하는 수치이다. 특히 델타 변이 바이러스가 창궐하면서 구글, 애플, 페이스북, 아마존 등 많은 빅테크 기업들이 재택근무를 연장하고 있는 상황이다.

국내에서는 잡코리아가 올 9월3일 실시한 '코로나가 끝나도 재택근무 희망' 설문조사에 따르면 코로나19가 종식되어도 재택근무를 계속 해야 된다는 의견이 88.2%였다고 한다. 이처럼 재택근무는 한 동안 계속 유지나 확대될 것으로 보인다.

최근에 발생한 보안사고를 보면 2021년 6월 국내 방위산업 기업과 몇몇 기관들이 VPN 취약점을 통해 해킹되는 사건이 있었다. 조사 결과 북한의 소행으로 외부에서 내부망에 침투한 사고였다. 일본에서는 2020년 8월, 38개 기업이 재택근무 VPN망을 통해 해킹되는 사건도 있었다.

NSP통신-한동우 대표컨설턴트 (엠엘소프트 제공)
한동우 대표컨설턴트 (엠엘소프트 제공)

또한 미국 같은 경우, 작년 12월에 솔라윈즈 해킹 사건이 있었다. 이는 시스템 관리툴을 통한 공급망을 유포한 해킹 사건으로 미국 내 1만8000개의 주요기업과 일부 국가의 기관까지 해킹되는 사건이었다. 또한 올 5월 콜로니얼 파이프라인 해킹 사건이 발생하면서 미국 남동부의 유전이 약 1주일 이상 마비되는 초유의 사건이 있었다. 이에 바이든 행정부는 ‘국가 사이버 보안개선에 관한 행정명령’을 선포하기에 이르렀다.

G03-8236672469

행정명령의 주요내용으로는 사이버 위협 정보 공유에 장애가 되는 것을 제거, 다중요소 인증과 암호화 채택, 제로트러스트 아키텍처 도입 등이다.

그럼 여기서 세번째 항목인 제로트러스트와 SDP 관계에 대해서 살펴보기로 하자. 제로 트러스트는 현재 최고 수준의 사이버 보안을 구현하기 위한 새로운 개념이며 시장조사업체인 포레스트 리서치와 가트너가 제창하기 시작하여 현재 보안 시장에서 맹위를 떨치고 있다. SDP는 제로 트러스트 개념을 구현하는 최상의 기술로써 美 CSA(클라우드보안연맹)가 제안을 했으며 그 기술을 시장에 확산시키고 있는 상황이다.

기업에서 기존의 보안 정책과 향후(TO-BE) 보안 정책이 어떻게 달라질 것인지 살펴본다.

과거 같은 경우는 방화벽(Firewall) 내부는 안전하다는 개념에서 출발하였고, 내부 직원들은 상호간 신뢰하는 보안정책을 갖고 있다고 생각했다. 그러나 내부 직원의 정보유출 사건이나 모바일 이동 기기와 클라우드 서비스가 증가하고 코로나19로 재택 근무가 확산되면서 외부에서 내부 망에 접근하는 환경 변화가 급격하게 많아지게 되었다. 이러한 변화로 인해 내부와 외부 같이 영역 경계를 나누어 적용하는 보안 정책은 점차 문제점이 노출되기 시작했다. 이에 따라 영역을 구분하지 않는 즉, 비 경계이면서 기업의 내·외부 동일한 보안 정책이 가능한 “제로 트러스트(아무도 신뢰하지 않는다)”의 개념이 급속히 확산되고 있는 실정이다.

가상사설망(VPN)같이 선(先) 접속 후 인증을 받는 체제에서는 기업 자산이 노출될 가능성이 언제나 내재되어 있었으며, 이러한 문제는 VPN 해킹 사고를 불러오게 됐다. TO-BE 모델에서는 제로 트러스트 같은 개념을 채택한다면 말 그대로 '아무도 신뢰하지 않는다'는 개념에서 출발하게 되며, 先인증을 통해서만 리소스에 접속할 수 있게 된다. 따라서 기업 내부의 직원이나 외부에 있는 사람이나 기기에 대해서도 동일한 인증 체계를 유지하면서 최소한의 권한만 부여하는 것이다.

예를 들어 인사부의 김 대리는 인사부 업무 중 채용 업무 담당이라면 재택으로 근무할 때 집에서 인증 서버를 통해 先 인증을 받아야 하지만, 회사 내부 망에 접속해 '최소한의 권한' 원칙에 따라 채용 업무에 대해서만 권한을 부여받게 된다. 따라서 인사의 다른 영역(인사관리, 급여, 복지 등)의 업무는 접근조차 할 수 없게 된다. 이는 사내나 사외에서 업무를 볼 때 동일한 보안 정책을 구현할 수 있다는 장점을 갖게 되며, 김 대리가 부서 이동이나 퇴사를 할 때는 해당 계정에 대한 변경만으로 업무나 사업의 연속성을 유지할 수 있는 것이다. 제로 트러스트 아키텍처가 확산되고 있는 가장 큰 이유이다.

기업이 재택근무를 시행하려면 어떤 규정과 지침(가이드)을 준수해야 하는가? 아마도 많은 정보보호 담당자들이 고민하는 첫 번째 항목일 것이다.

공공기관 같은 경우는 인터넷 진흥원에서 2020년 6월에 발표한 '비대면 업무환경 원격근무 영상회의 도입 운영을 위한 보안 가이드', 금융기관 같은 경우는 금융 보안원에서 2020년 11월에 제정한 '금융회사 재택근무시 보안 고려사항 안내서'가 있다. 또한 일반 기업은 2020년 6월 고용노동부에서 '재택 근무 종합 매뉴얼'이 발간돼 있다.

본 기고에서는 주로 금융권을 중심으로 해서 살펴보도록 한다. 재택근무에 대한 금융 규정을 만족시키기 위해서는 크게 4개의 솔루션이 필요하다는 것을 알 수 있다.

첫 번째는 통신회선 영역으로 로그인 시 이중인증적용(MFA), 사내 업무망 연결 시 인터넷 차단, 네트워크 구간 암호화 등이며, 두 번째는 NAC의 영역으로 최신 운영체제 설치 여부, 원격 PC 무결성 점검, ID 비밀번호 규칙, 이석 시 화면 보호기 작동 등이 여기에 해당된다.

세 번째는 원격제어 영역으로 파일 송·수신 차단, 원격 PC에서 사내 업무용 PC제어가 있다. 네 번째는 정보유출방지 영역으로 화면 캡처 방지, 화면 스크린 워터마크, 내부 전산자료 저장 금지 등이 이 영역에 해당한다.

금융권 규정을 만족시키기 위해서는 이렇게 최소 4개의 솔루션이 필요하게 되는데 해당 부분을. 얼마나 편리하게 연동이나 통합으로 솔루션을 구축하느냐가 성공의 핵심이다. 그러나 현재 시중에 나와 있는 원격 근무나 재택 근무 솔루션들은 개별 솔루션으로 보안 현장에서 독립적으로 실행되고 있는 상황이다. 2019년 출시한 엠엘소프트의 Tgate 4.0은 상기 거론한 기능들을 유기적으로 통합한 올인원 제품이다.

제로 트러스트의 실현 기술인 SDP를 사용해 VPN을 대치했으며, 원격제어, 네트워크 접근제어(NAC)와 정보 유출방지 네 가지 솔루션을 하나의 패키지로 통합해 싱글-사인온이 가능하고, UI/UX를 사용자 중심적으로 편리하게 맞춘 기술집약형 혁신 제품이다. 작년에 GS 품질인증 1등급과 올 6월에 CC 인증 레벨 2 인증까지 받았다.

NSP통신 people@nspna.com
저작권자ⓒ 한국의 경제뉴스통신사 NSP통신·NSP TV. 무단전재-재배포 금지.