코로나19(COVID-19) 팬데믹 상황은 많은 조직과 기업이 미처 준비하지 못한 광범위한 재택 근무, 원격 근무 상황을 야기했다.
IT부서는 이러한 예견되지 않은 근무환경을 지원함에 있어, 불충분한 VPN 인프라 등 업무 생산성에 미치는 영향을 최소화하기 위해 노력하고 있다. 하지만 이런 긴급한 상황에서 충분히 고려하지 않은 업무 환경 구성 시, 이에 대한 위협 대응방안까지 준비하기는 어려운 상황이다.
또한 SSL VPN을 이용한 재택근무 시스템을 도입 하더라도 최근 위협이 되고 있는 지능형 웹 위협에 대비하기 위해 예외적인 상황·이벤트가 발생하는지 모니터링이 필요하고, 로그 관리, 업데이트 등 철저한 관리와 유지보수가 뒤따라야 한다.
전세계 기업 업무 환경이 원격으로 전환되는 가운데, 이를 악용해 기업 내 개인 사용자를 목표로, 외부로 노출 된 서비스 또는 원격 직원의 개인 단말을 통해 회사의 개인 네트워크에 액세스 한 다음, 랜섬웨어로 내부 서버를 감염시켜 발생할 수 있는 서비스 중단도 가능하며, 이는 한 사용자의 액세스가 문자 그대로 전체 인프라를 중단시킬 수 있는 코로나19 상황에서 가능한 시나리오다.
다음은 에스에스앤씨(한은혜 대표)에서 전하는 코로나19 시대 가능한 공격 시나리오다.
◇가능한 공격 시나리오
▷원격 근무자 공격
과거에는 RDP(Remote Desktop Protocol) 서비스를 인터넷에 직접 노출하는 회사가 많았으며 이러한 서비스는 해킹되어 사이버 범죄의 진입 점으로 사용 되었다. 불행히도, 코로나19 상황 동안, 원격 액세스를 가능하게 하는 바로 가기를 사용함에 따라 안전하지 않은 서비스 및 방화벽 구성과 관련된 사고가 증가 할 수 있다.
사이버시큐리티 연구소에서는 뱅킹 악성코드인 TrickBot Trojan이 OpenSSH 개인키와 Open VPN 패스워드, 관련 구성 파일을 훔칠 수 있는 새로운 패스워드 스틸러 모듈을 업데이트 했다고 경고했다. 또한 Trickbot이 OpenSSH 개인키와 OpenVPN 패스워드, 구성파일을 C&C 서버로 보내기 위해 HTTP POST 요청을 사용하는 것을 발견했다.
보안 전문가들은 악의적인 공격자들이 회사 네트워크 경계 외부, 즉 Less secure한 상황에서 회사 리소스에 액세스하는 많은 수의 사용자를 목표로 삼을 때, 회사 내부를 직접 공격하는 것보다 훨씬 효율적이며 이러한 종류의 공격이 계속되고 강화 될 것이라는 데 동의하고 있다.
▷코로나19 관련 악성 메일·웹 트래픽
전세계 사용자의 관심에 따라 코로나 및 코로나바이러스 관련 웹사이트 상당수가 불법적인 수단으로 등록 및 활성화되었다. 포스포인트(Forcepoint) X-Lab에서는 2020년 1월부터 3월말까지 COVID 또는 Corona 키워드를 사용해 내장 URL을 포함하는 이메일(스팸 또는 피싱)이 50만개까지 증가했다고 발표한 바 있다.
또한 포스포인트에 의해 3월 9일부터 현재까지 악성으로 분류된 COVID 또는 코로나 바이러스 관련 URL 수가 꾸준히 증가하고 있다고 밝혔다. 사이버 범죄자 들은 코로나에 관심있는 사람들이 링크를 클릭해 악성코드에 감염되도록 유도하고 있다.
◇공격 대응 시나리오
▷위협 환경의 변화
보안 전문가들은 범죄자들이 항상 상황에 대응하고 효과가 있으며 계속 발전 할 수 있는 기술을 개발할 것이라는 것을 알고 있으며, 우리는 이제 방화벽이 설치되어 있고 경고와 절차가 있다는 상황으로 간단하게 사람들이 보호되는 환경에서 바뀌었으며, 코로나로 인해 급작스런 웹 위협에 노출될 수 있다고 경고한다.
기업의 클라우드 환경으로의 변화로 인해 조직은 기존 네트워크 경계를 다시 생각해야 한다. 사용자, 파트너 및 고객이 전 세계 어느 곳에서나 조직의 데이터에 액세스 함에 따라 데이터를 보호하는 인공적인 벽은 더 이상 충분하지 않다.
▷제로 트러스트(Zero Trust)
이러한 보안 문제 중 일부를 피하고 위험을 제한하는 한 가지 잠재적인 방법은 기간 시스템을 포함한 비즈니스 응용 프로그램에 대한 액세스가 최소 권한 원칙에 따라 안전한 웹 기반 게이트웨이를 통해 수행되는 제로 트러스트 보안 모델을 채택하는 것이다.
제로 트러스트의 핵심 원칙은 “신뢰하지 말고 항상 확인(never trust, always verify)”하는 것이다. 제로 트러스트 프레임워크에서 사용자와 해당 ID는 중요한 역할을 하며 조직은 인증되고 권한이 부여된 사용자 및 장치만 응용 프로그램 및 데이터에 액세스 할 수 있도록 해야 한다. 사용자의 신원을 확인하는 가장 쉬운 방법은 다단계 인증을 사용하는 것이다.
다중인증 (MFA) 및 장치 보안 검사 이러한 시스템은 추가 인프라 비용없이 VPN보다 확장 성이 뛰어나고 기존의 싱글 사인온(SSO) 플랫폼과 쉽게 통합 할 수 있으며, 누가 어떤 장치에서 무엇에 액세스 할 수 있는지를 정의하는 세분화 된 액세스 제어 정책을 허용한다.
에스에스앤씨(SSNC) 한은혜 대표는 “이러한 제로 트러스트 프레임워크 구축을 위해 제품문의가 많이 들어오고 있다”며 “포스포인트 웹 시큐리티(Web Security) 제품으로 사용자가 접속하는 목적지의 안정성 검증후 목적지 접속 통제 비업무 또는 유해사이트 접속 통제 http 및 https 사이트에 대한 가시성 확보로 암호통신의 안정성 검사범위 확대, 정보유출통제까지 구성을 통합하고 사내의 단말이든 사외 단말이든 단일화된 일관성있는 관리체계 구성이 가능하다”고 강조했다.
포스포인트는 9억 개 이상의 글로벌 엔드포인트 기반으로 매일 30억에서 50억개의 웹 관련 컨텐츠를 수집 및 분석하는 세계에서 가장 큰 위협탐지인프라(Threat detection network)를 보유하고 있으며, 웹사이트에 포함된 실시간 웹 컨텐츠 분석을 통해 악성코드 및 알려지지 않은 위협들을 인지하고 차단하는 것을 지원하고 있는 글로벌 보안기업이다.
★정보보안 대표 미디어 데일리시큐!★
◇상반기 최대 개인정보보호&정보보안 컨퍼런스 G-PRIVACY 2020 개최
-날짜: 2020년 5월 28일
-장소: 더케이호텔서울 2층 가야금홀
-참석: 공공·금융·기업 개인정보보호 및 정보보안 책임자·실무자
-교육이수: 7시간 인정
-사전등록: 사전등록 클릭
-보안기업 참가문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com
