귀하의 VPN은 얼마나 안전한가요?
현재의 COVID-19 팬데믹으로 인해 가상 사설망(VPN) 보안이 이제 필수적이 되었습니다. 원격 작업이 새로운 표준으로 자리 잡으면 서 VPN 기능에 대한 수요도 급증했습니다. 불행히도 놀랍지 않게도 VPN에 대한 공격도 급격히 증가했습니다. 심각성을 강조하면서, 3월에 미국 국토안보부 산하 사이버보안 및 인프라 보안국(CISA)은 기업용 VPN 보안에 대한 경보 AA20-073A를 발표했습니다.
기본적으로 VPN은 기업 네트워크 경계를 확장하고 사용자가 어디서나 회사 애플리케이션에 액세스할 수 있도록 합니다. 온프레미스 인프라는 사용자 기기에서 효과적으로 "한 번의 홉"(또는 한 번의 클릭) 떨어진 곳이 됩니다. 마찬가지로, 기업 자산에 대한 보안 위험도 한 걸음 떨어져 있습니다. 공격자는 더 이상 프록시, WAF, 침입 탐지 등의 정교한 경계 보안 계층을 손상시킬 필요가 없을 수 있지만, 단 하나의 취약점이나 VPN의 안전하지 않은 구현만으로도 기업 자산과 개인 정보가 노출될 수 있습니다.
이 글에서는 VPN의 보안을 평가하는 데 중요한 핵심 영역 중 일부에 초점을 맞출 것입니다.
엔드포인트 보안 포스처
사용자는 일반적으로 데스크톱, 노트북, 모바일 등의 엔드포인트 장치에서 SSL VPN 터널을 시작합니다. 이러한 엔드포인트는 공격 벡터로 사용하려는 악의적인 행위자들의 진입점이자 주요 타깃이 됩니다. 따라서 VPN 터널을 설정하기 전에 항상 엔드포인트가 안전한지 확인하는 것이 중요합니다. 엔드포인트 보안은 클라이언트 장치가 네트워크에 원격으로 액세스할 수 있도록 허용되기 전에 보안 위험이 없는지 확인하는 전략적 접근 방식입니다. 이러한 전략에는 클라이언트 머신 인증서의 체계적 검증, 클라이언트 유형 및/또는 클라이언트 브라우저의 버전 검증, 안티스파이웨어 및 안티바이러스 소프트웨어의 패치 검증, 클라이언트 방화벽 규칙 검사 등이 포함될 수 있습니다.
엔드포인트 보안 포스처 평가는 일반적으로 VPN 터널을 설정하기 전, 세션 시작 시에 수행되지만, 사용자의 VPN 세션 중에 주기적으로 수행될 수도 있습니다. 지속적인 엔드포인트 보안 태세 평가를 통해 초기 VPN 터널이 설정된 후 엔드포인트가 손상되지 않았는지 확인하여 이후의 위험을 완화합니다.
사용자 인증 및 권한 부여
인증은 VPN 터널을 설정하기 전에 사용자의 신원을 확인하는 것입니다. 원격 근무자의 자격 증명을 확인하면 합법적인 사용자만 내부 리소스 및 애플리케이션에 액세스할 수 있습니다.
그러나 자격 증명 채우기 및 계정 인수(ATO) 방법이 증가함에 따라 공격자는 유효한 사용자 자격 증명을 소지하고 단일 요소 인증을 우회할 수 있게 되었습니다. 따라서 VPN에 대해 다중 요소 인증을 구현하는 것이 필수적입니다.
다중 인증 요소(MFA)
MFA는 VPN 터널을 설정하기 전에 사용자에게 두 개 이상의 검증 가능한 인증 요소를 제공하도록 요청하여 보안을 강화합니다. 업계 추정에 따르면 이러한 접근 방식을 통해 MFA는 계정 인수(ATO) 공격의 99.9%를 효과적으로 차단할 수 있습니다. 일반적인 인증 요소는 다음과 같습니다.
- 비밀번호, PIN, 터치패드 제스처 등 사용자가 알고 있는 것
- 사용자가 가지고 있는 것 , 예를 들어 물리적 또는 소프트웨어 토큰이나 인증서
- 사용자가 가지고 있는 것 , 즉 지문, 망막 스캔, 얼굴 또는 음성 인식과 같은 생체 인식 입력
사용자가 인증되면 권한 부여 정책은 사용자의 권한 집합을 평가하여 내부 리소스 및 애플리케이션에 대한 특정 액세스 권한을 부여하고 적절한 제한을 시행합니다. 액세스는 역할 기반 액세스 제어(RBAC)와 같은 다양한 권한 모델을 통해 부여됩니다. VPN 터널을 설정하는 동안 ACL과 같은 추가적인 보안 제어를 구현하면 VPN 사용자에게 특정 권한과 기본 설정을 적용할 수 있습니다.
데이터 기밀성 및 무결성
암호화는 VPN 터널을 통해 공유 또는 공용 네트워크로 기업 데이터가 전송될 때 데이터의 기밀성과 무결성을 보장합니다.
기밀 데이터를 공개하기 위해 악의적인 행위자는 개인 키를 훔치고, 암호화 구현의 알려진 취약점을 악용하거나, 취약한 암호화 매개변수를 해독하려고 시도할 수 있습니다.
SSL VPN을 구성할 때는 키 교환 관리와 암호화의 강도를 고려해야 합니다. TLS1.3 이전 버전에는 프로토콜 정의와 구현에 알려진 결함이 있습니다. 다른 악용 사례로는 클라이언트 재협상을 악용하고 RC4 스트림 및 수출 등급 암호와 같은 취약한 암호화 기본 요소를 사용하는 것이 있습니다.
VPN에 대한 DDoS 공격
직원의 대부분 또는 전부가 원격 근무자일 경우 VPN 서버(VPN 콘센트레이터라고도 함)의 가용성은 비즈니스 연속성에 매우 중요합니다. 반대로, VPN 서버는 무작위로 분산된 자동 요청으로 VPN 서버를 과부하 시키려는 악의적인 행위자의 주요 표적이 될 수 있으며, 이로 인해 합법적인 사용자가 VPN을 사용할 수 없게 될 수 있습니다.
SSL VPN은 IP 주소/URL(웹 브라우저 또는 VPN 클라이언트에서 구성)을 통해 접근할 수 있으므로 HTTP 플러드, SSL 플러드, SSL 재협상, TCP 혼합 공격 등 웹 서버를 대상으로 하는 동일한 DDoS 공격 패턴에 취약합니다.
따라서 VPN을 통해 비즈니스 연속성을 보장하려면 더 광범위한 보안 전략의 일환으로 DDoS 공격을 탐지하고 완화하도록 VPN을 구성하는 것이 필수적일 수 있습니다.
추가 리소스: