가정과 직장, 거리에서 사용하고 있는 네트워크 보안이 안전한지 생각해 본 적 있는가. 일상에서 사용하는 디바이스 보안을 심각하게 고민하는 사람은 별로 없을 것이다.
보안사고가 발생하면 '사용자의 노트북이나 컴퓨터 보안을 강화해야 한다'고 말한다. 정품 소프트웨어(SW)를 사용하고 주기적으로 보안과 백신을 업데이트하라는 말은 하지만 과연 얼마나 많은 사람이 이런 사항을 지키고 있을까.
가정에서 사용하는 공유기의 기본 아이디와 암호조차 변경하지 않고 사용하거나 와이파이를 암호 없이 사용하기도 한다. 셋톱박스의 결제 비밀번호를 바꾼 사람도 거의 없을 것이다.
집 밖의 상황이라고 다를까. 대중교통, 공원, 공공기관 등에서 사용하는 공공 와이파이는 누구나 접속할 수 있다. 보안에 매우 취약하지만 무료이기 때문에 경각심 없이 접속한다. 카페 등 공공장소에서 노트북, 휴대폰 등 개인물품을 두고 자리를 비우는 사람도 많다. 누군가 타인의 노트북이나 휴대폰에 치명적 프로그램을 설치하거나 데이터를 탈취하지 않을 것이라고 장담할 수 있을까.
많은 사람이 노트북, 컴퓨터를 암호 없이 사용한다. 암호를 설정해도 '1111' 같은 단순한 형태를 적용한다. 암호를 적어 놓은 종이가 디바이스에 붙어 있는 경우도 많다.
누구나 인터넷에서 5분만 검색하면 공유기 기본 관리자의 아이디와 암호를 찾을 수 있다. 시간을 좀 더 투자하면 특정 웹사이트의 데이터베이스 접속 방법도 찾을 수 있다. 많은 정보가 이미 공개돼 있다. 사람들은 대부분 이런 사실을 알지 못한다.
이 같은 상황은 코로나19 팬데믹 이후 재택근무가 갑자기 늘어난 환경과 만나 위험을 키웠다.
위드 코로나로 가는 시점에도 많은 사람이 재택근무와 직장근무를 병행한다. 가정이나 카페에서 근무하는 사람이 늘었고, 외부에서 내부로 접근하는 경우가 많다. 노트북, 컴퓨터와 같은 디바이스 보안이 허술한 상태에서 내부로 접근한다. 외부에서 내부로 접근하는 방법으로는 원격프로그램과 가상사설망(VPN)을 생각해 볼 수 있다.
원격프로그램은 구하기도 쉽고 사용 방법도 쉽지만 과연 보안 상태를 믿을 수 있을까.
원격프로그램으로 유명한 팀뷰어·애니데스크·크롬·VNC의 경우 CVE. org에서 취약점이 계속 발표되고 있고, 업데이트가 이어지고 있다.
가정이나 개인끼리 사용하기엔 좋지만 회사에서 사용하기엔 어려움이 있다는 의미다. IP시큐리티(IPSEC) VPN을 이용한 기술과 시큐어소켓레이어(SSL) VPN도 생각해 보자. 전용장비 간 IPSEC VPN은 보안 단계가 높아서 주로 금융, 공공, 군, 기업에서 많이 사용한다. SSL VPN은 주로 재택근무자나 출장자가 사용한다. 외부에서 재택근무자나 출장자가 회사 내부로 접근하는 방법은 아주 간단하다.
간단하게 설명하면 밖에서 집 안으로 들어갈 때 키(비밀번호)가 있으면 들어갈 수 있는 것과 같다.
원격프로그램 또는 SSL VPN을 사용하는 경우에도 계정과 비밀번호만 있으면 누구나 외부에서 내부로 들어갈 수 있다. 계정과 비밀번호를 타인과 공유하거나 디바이스에 붙여 놓으면 더 쉽게 내부로 들어갈 수 있다.
최근 들어 SW 제품인 SSL VPN이 설치된 외부 디바이스의 아이디와 암호를 복제해서 내부로 접근한 사례가 빈번하다. 이 때문에 2차 인증을 도입하고 디바이스를 등록하는 등 다양한 보안 방법이 파생되고 있다. 나아가 기존에는 모든 네트워크를 허용한 상태에서 꼭 막아야만 하는 것을 등록하는 방식을 사용했다면 최근엔 모든 네트워크를 막은 상태에서 꼭 허용해야만 하는 것을 등록하는 방식으로 보안 형태가 변화하고 있다.
가장 주목받는 개념이 제로 트러스트다. 제로 트러스트는 정상임을 인증받고 검증되기 전에는 내외부의 어떤 사람 또는 디바이스에도 접속 권한을 부여하지 않는 것을 의미한다.
국가보안요구사항 V3.0에서는 기본적으로 모든 네트워크를 비활성 상태로 설정하는 것을 요구한다. 정상적 접근으로 인증받고 검증을 통과해야만 내부로 연결할 수 있다. 즉 제로 트러스트를 기본적으로 요구하는 것이다.
퓨쳐시스템이 IPsec VPN과 제로 트러스트 액세스(ZTNA)를 융합한 하이브리드 방식 제품을 고안한 배경도 여기에 있다. 전용 장비인 'WeGuardia ITU'와 SW 제품인 'WeGuardia ITU/SDP Client'를 이용하면 내외부에서 ZTNA를 이용해 접근할 수 있다.
내부 네트워크인 WeGuardia ITU는 디바이스와 앱을 등록할 수 있고, 등록되지 않은 앱이나 디바이스의 접근을 원천적으로 제한한다.
본사와 지사 간에는 전용 장비끼리 IPsec VPN 통신으로 연결해 보안 취약점을 없애고, 재택근무자나 출장자의 회사 내부로의 통신은 SSL VPN이 아닌 ZTNA 기술인 SDP를 활용해 연결한다.
이제는 다수 보안 프로그램을 디바이스에 설치하는 시대가 아니다. 하나의 에이전트가 여러 보안 상태를 확인하고, 인증받고, 검증된 디바이스와 사람만이 내부 디바이스 및 앱 접근이 가능한 시대다.
정원규 퓨쳐시스템 대표 wkchong@future.co.kr
-
최호 기자기사 더보기