센스톤 Blog

'위드 코로나' 시대, 안전한 재택근무 위한 보안 원칙

Written by 데이터넷 김선애 기자 | Apr 1, 2022 3:22:24 AM

'위드 코로나' 시대가 시작되면서 재택근무와 원격근무도 일반적인 근무형태의 하나로 자리잡고 있다. 그러면서 메타버스 활용 사무환경 구현과 같은 다양한 방법으로 재택·원격근무 환경을 개선하려는 노력이 이어지고 있다.

 

재택근무 보안 문제 해법은 강력하면서도 편리한 사용자 인증
서버 통신 없이 중복되지 않는 일회용 인증 코드 생성시키는 센스톤 ‘OTAC’ 유용
사용자 기기 보호·데이터 보호·VPN 취약점 제거 등 필수


재택·원격근무를 더 확산시키기 위해서는 보안 문제를 해결해야 한다. 공격자는 보호되지 않는 환경에서 일하는 임직원의 노트북에 악성코드를 심거나, 임직원의 계정을 탈취해 정상 사용자로 위장해 접속하는 경우, VPN 취약점을 이용해 업무 시스템에 침투한다. 그리고 데이터를 유출하고 랜섬웨어 공격을 한다.

보안 문제가 심각하다고 해서 재택·원격근무를 금지할 수도 없다. 재택·원격근무는 업무 효율성을 높일 수 있으며, 해외에 거주하거나 이동이 어려운 사람도 고용할 수 있어 인력난을 해소하고 좋은 인재를 확보할 수 있다.

위드 코로나 시대를 위한 재택근무 필수 보안 요구사항은 다음과 같다.

 

사용자 기기 감염 예방위한 보안 시스템 구축

재택근무 시 가장 문제가 되는 것이 업무용 기기다. 공격자들은 업무와 관련된 내용으로 위장한 이메일·문서를 이용해 사용자를 속이고 기기를 감염시킨다. 따라서 업무용 기기에는 반드시 백신 등 엔드포인트 보안 솔루션이 설치돼 있어야 하며, 안전한 소프트웨어 버전을 사용하며 최신 패치를 적용해야 한다. 또 이메일이나 웹을 통해 악성코드에 감염되지 않도록 의심스러운 메일이나 웹에는 접근하지 않도록 하고, URL 필터링·이메일 보안 솔루션 등을 통해 웹·이메일을 통한 접근을 막는다.

 

데이터 보호 정책 마련

최근 공격자들은 중요 데이터를 탈취한 후 랜섬웨어 공격을 해 몸값을 주지 않으면 데이터를 공개하겠다고 협박한다. 공격에 당하지 않도록 랜섬웨어를 사전에 차단하는 것이 좋지만, 완벽하게 모든 공격을 막을 수 없기 때문에 데이터가 탈취되고 무단 암호화되지 않도록 보호해야 한다. 모든 데이터에 대해 암호화 등 적절한 보호 정책을 마련하며, AI와 컨텍스트 인지 정책을 적용한 데이터 유출 방지 기술을 적용하는 것이 좋다.

 

VPN·RDP·원격접속 시스템 보호

원격접속에 사용되는 VPN RDP는 보안에 매우 취약하다. 알려졌거나 알려지지 않은 VPN·RDP 취약점과 부주의하게 관리되는 계정을 이용해 공격자들이 무단으로 접속한다. 따라서 VPN·RDP 취약점을 즉시 제거해야 하며, 사용자 계정을 안전하게 보호해 정상 사용자로 위장한 공격자의 접근을 차단한다.

최근 VPN·RDP 없이 브라우저 플러그인 만으로 쉽고 안전하게 접속할 수 있는 방법도 제안되는데, 이 방식 역시 사용자 계정을 탈취해 무단으로 접속할 수 있기 때문에 계정·권한 관리는 물론이고 접속하는 모든 세션에 대한 정교한 모니터링과 행위 분석으로 불법 사용자의 접속을 차단해야 한다.

 

가장 중요한 것은 사용자 인증과 권한 관리

재택·원격근무 보안 문제를 해결하는 단 하나의 기술을 꼽으라고 한다면 사용자 인증이라고 할 수 있다. 대부분의 공격은 사용자 계정과 권한을 탈취해 진행된다. 사용자 기기를 감염시켜 업무 내부로 접속한 후 네트워크를 탐색하면서 시스템에 저장된 권한 정보를 이용해 AD 시스템 관리자 권한을 획득한다. 그 권한으로 다른 권한계정을 여러 개 만들어 중요 데이터에 접근하고 외부로 유출한다. AD 서버를 통해 연결된 시스템과 기기에 랜섬웨어 악성코드를 지속적으로 유포하고 공격을 이어간다.

이를 막기 위해서는 사용자 인증을 강화해 사용자 계정과 권한을 도용하지 않도록 해야 한다. ID/PW의 취약점을 해결하기 위해 OTP를 주로 사용하는데, OTP 번호가 중복될 가능성을 완전히 배제할 수 없으며, 사용자가 늘어나면 OTP 인증서버 증설 비용과 관리 복잡성이 높아진다.

스마트폰의 본인인증 기능을 이용하는 방법도 제안된다. 생체인증, PIN·패턴 인증 등을 이용해 스마트폰에서 본인임을 인증한 후 해당 인증정보를 인증서버에 보내는 방식을 이용한다. 인증정보 자체가 전송되는 것이 아니기 때문에 인증서버를 탈취해도 사용자의 인증정보 자체를 가져갈 수 없어 안전하다. 그러나 스마트폰을 분실했거나 스마트폰이 악성코드에 감염됐을 때 악용될 가능성이 있으며, 인증 마다 서버와 통신해야 하기 때문에 사용자가 늘어났을 때 서버 증설과 관리 문제가 있다.

센스톤의 일회용 인증코드(OTAC)는 인증서버와 연결 없이 기기에서 중복되지 않은 일회용 인증코드를 생성시킨다. 인증서버와 매번 통신해야 할 필요가 없기 때문에 통신환경이 불안한 곳에서도 불편함 없이 인증할 수 있으며, 인증서버 증설 등 비용과 관리 복잡성이 줄어든다. 재사용 불가능한 1회용 인증이기 때문에 인증코드가 탈취된다 해도 이를 이용해 업무에 접속할 수 없다.

최근 제로 트러스트보안 원칙이 주목받고 있는데, 제로 트러스트의 시작은 사용자 인증이다. 사용자 본인이 업무하는지 지속적으로 검증하고 모니터링하는 것이 제로 트러스트의 원칙이다. 여기서 핵심은 지속적이라는 것이다. 사용자 계정을 탈취한 공격자가 계속 공격을 이어가지 못하도록 단 한 번만 유효한 인증 정보를 제공하는 OTAC로 안전한 재택근무를 시작하기를 바란다.