원격 근무의 숨겨진 보안 위협 대응
2020년 봄, 전 세계 대부분의 정부와 기업들은 많은 직원들을 원격 근무로 빠르게 전환해야만 했습니다. 이 때문에 새로운 정보 보안 시스템의 설계 문제가 미뤄졌습니다. 대신, 당시에 가장 관련성이 높은 보호 조치들, 예를 들어 방화벽, VPN, 그리고 다중 인증 방식을 도입했습니다.
원격 근무 구축에 대한 서두름과 제한된 예산으로 인해 많은 긴급 보안 위협이 무시되었습니다. 시간이 지나면서 정보 보호 시스템과 그 문서 기반이 실제 위협의 수가 더 많다는 점을 고려하여 개선되었습니다. 그러나 공격자들은 계속해서 허점을 찾아 피해를 입히고 있습니다.
사용자 계정에 대한 위협
입력된 자격 증명 가로채기
원격 근무를 조직할 때 직원들이 개인 기기를 사용하는 경우 정보를 보호하는 조치 중 하나는 작업장의 가상화와 애플리케이션을 터미널 서버로 이동시킨 후 환경을 완전히 격리하는 것입니다.
실제로 직원의 컴퓨터에 악성 소프트웨어가 설치되어도, 작업 환경이나 비즈니스 애플리케이션에 영향을 주지 않을 것입니다.
그러나 원격 연결에 대해 대체 인증 방식을 사용하더라도 가상화된 작업 공간(VDI)과 터미널 애플리케이션(예를 들어, RemoteApp을 통해)에 연결하는 경우, 애플리케이션이 사용자 이름과 비밀번호를 사용한 인증을 요구할 확률이 높습니다. 이 경우, 악성 소프트웨어는 키 입력을 가로채 정확한 로그인-비밀번호 조합을 식별할 수 있으며, 결국 공격자는 기밀 데이터에 접근할 수 있게 됩니다.
이 위협을 완화하기 위해, 단일 로그인(SSO) 솔루션을 대체 인증 솔루션과 함께 사용하는 것이 권장됩니다. SSO 솔루션은 직원이 VDI를 통해 연결하거나 터미널 서버에 설치되어야 합니다. 또한, 기업 애플리케이션에서 인증을 확인하기 위해, 시스템은 대체 인증 요소를 요구한 후에 SSO가 독립적으로 필요한 자격 증명을 제공하게 됩니다. 따라서, 직원의 워크스테이션에 키로거가 있더라도 입력된 로그인과 비밀번호는 가로채질 수 없습니다.
일회용 비밀번호 생성기 복제
강력한 (다중 요소) 인증 방법은 원격 작업 시 위협에 대한 저항력을 크게 증가시킨다는 것은 두말할 필요도 없습니다. 그러나 모든 인증 기술은 적용 가능성과 보안 측면에서 상당한 차이를 가지고 있습니다.
오늘날 장치에서 생성되거나 메신저를 통해 전송되는 일회용 코드를 사용하는 인기 있는 다중 인증 방법에는 중대한 취약점이 있습니다. 공격자가 스마트폰에 지속적으로 접근할 수 있다면, 스마트폰에서 상위 권한을 얻으려고 시도할 수 있습니다(iOS 기기의 경우 탈옥, 안드로이드의 경우 루트). 그리고 공격자가 성공한다면, 일회용 비밀번호 생성기의 키를 복제하고 코드를 자신의 장치로 전송하도록 설정할 수 있습니다.
이 위험을 완화하기 위해 일회용 비밀번호를 포기하고 기기에 명시적으로 연결된 푸시 인증을 사용하는 것이 권장됩니다. 이는 공격자의 기기에서 작동하지 않습니다.
기업 자원 가용성에 대한 위협
· 사용자 계정의 원격 잠금
종종 웹 서비스는 인터넷을 통해 이용할 수 있습니다. 예를 들어, 웹메일을 사용하여 기업 자원에 접근할 수 있습니다.
가끔, 메일함 이름이 도메인 계정 이름과 같을 수 있습니다. 해커들은 무차별 대입 공격을 통해 비밀번호를 추측하려고 시도할 수 있습니다. 이 위협을 무력화하기 위해, 여러 번의 비밀번호 시도 실패 후에는 계정 잠금이 활성화되어야 합니다.
그러나 공격자는 도메인 계정을 고의로 차단하기 위해 비밀번호를 무차별 대입 공격할 수 있습니다. 이러한 공격은 일부 비즈니스 프로세스를 마비시킬 수 있습니다.
이 위협을 부분적으로 중화하기 위해, 예를 들어 일회용 비밀번호와 같은 2단계 인증(2FA)을 위한 전문 솔루션을 사용할 수 있습니다. 이 경우, 무차별 대입 시도가 이루어져도 계정이 아닌 두 번째 인증기가 차단됩니다. 따라서 직원은 대체 연결을 통하거나 로컬에서 작업할 때에만이라도 기업 자원에 접근할 수 있는 능력을 유지하게 됩니다.
보안 키를 저장하는 매체의 손실 또는 고장
업무 수행 시, 원격 근무자들은 문서에 서명하거나, 제3자 웹 서비스에 연결하거나, 기타 작업을 위해 디지털 인증서를 사용할 수 있습니다. 동시에, 장치(예를 들어, 키를 저장하는 플래시 드라이브)의 분실이나 고장이 발생한 경우, 그 즉각적인 교체 문제가 발생합니다. 종종, 직원이 사무실에서 멀리 떨어져 있는 경우, 합리적인 시간 내에 이를 실행할 수 없습니다.
위협을 중화하기 위해, 키 정보를 이동식 장치에 보관하지 않는 가상 스마트 카드를 구현하는 전문 솔루션을 사용할 수 있습니다.
이 경우, 키 저장은 다음 방법으로 수행됩니다:
서버 측에서, 모든 키 작업은 서버에서 수행됩니다.
장치 내의 전문 모듈 – 신뢰할 수 있는 플랫폼 모듈.
이러한 솔루션은 이동식 보호 미디어보다 보안이 떨어진다고 여겨지지만, 설명된 긴급 상황에 가장 유연하고 적합한 솔루션입니다.
키를 교체한 후에는 가상 스마트 카드를 비활성화할 수 있습니다. 따라서 키 캐리어가 분실되거나 손상되더라도 회사의 업무 프로세스에 다운타임이 발생하지 않습니다.
사건으로 이어진 행동의 비귀속 위협
· 중대 자원 실패 시 분쟁
특권 사용자가 IT 자원을 다룰 때마다 항상 인간의 오류 위험이 있습니다. 그들의 행동 자체가 중요 자원의 실패로 이어질 수 있습니다.
조직 현장에서 직접 일하더라도 무슨 일이 일어났는지, 누가 실패에 책임이 있는지 파악하기 어려울 수 있습니다. 원격 접속의 경우, 이 상황은 더 복잡해집니다. 이러한 사건의 조사는 무고한 당사자를 탓하려는 시도가 있을 때 작업 환경에 부정적인 영향을 미치는 것뿐만 아니라 비생산적인 행동에 많은 시간을 낭비하게 합니다.
SIEM 솔루션을 사용하면 누가 리소스에 연결했는지 알아낼 수 있을 것입니다만, 동시에 여러 연결이 있을 경우 누가 책임이 있는지 정확히 판단하기는 어려울 것입니다. 그리고 실패로 이어진 행동의 순서도 파악하기 어렵습니다.
그러나 Privileged Access Management (PAM) 솔루션을 사용할 때, 특권 사용자의 모든 연결은 다양한 형식(비디오, 텍스트, 스크린샷, 키 입력, 전송된 파일 등)으로 기록될 수 있습니다. 나중에 이러한 로그를 사용하여 어떤 작업 순서가 실패로 이어졌는지 빠르게 파악하고 사건에 대한 책임자를 식별할 수 있습니다.
책임을 회피하려는 시도
회사 내부에서 악의적인 내부자가 일하는 상황이 있습니다. 그는 중요한 자원의 실패나 중단을 초래할 수 있는 일부 행동을 고의로 수행할 수 있습니다. 그 자체로 책임자를 식별하는 작업은 쉽지 않지만, PAM 솔루션을 사용하면 빠르게 범인을 찾을 수 있습니다.
직원이 걸렸을 때 자신의 비밀번호가 도난당했다고 말할 수 있습니다. 비밀번호 인증이 다양한 위협에 매우 취약하다는 것은 비밀이 아니며, 공개 사실 자체가 종종 사건이 발생한 후에만 드러납니다.
물론, 이런 상황에서 보안 담당자는 직원이 무죄라고 생각하고, 발생한 일이 그저 불운한 우연이라고 생각할 수 있습니다.
이 위협을 중화하기 위해, PAM 솔루션과 함께 2FA를 사용하는 것이 권장됩니다. 만약 직원이 실제로 악의적 내부자라면, 그가 책임을 회피하기는 어려울 것입니다. 그럼에도 불구하고, 직원이 자신의 비밀번호뿐만 아니라 일회용 비밀번호 생성기가 설치된 자신의 전화기도 도난당했다고 주장한다면, 그에게 논리적인 질문이 제기될 것입니다: “왜 즉시 보안 서비스에 이 사실을 알리지 않았습니까?”
결론
원격으로 작업할 때 발생하는 추가적인 위협을 고려해 볼 때, 정보 보안 위협이 IT 기술의 발전과 함께 진화한다는 것을 명심해야 합니다. 공격자들은 적응하며 더 많은 돈을 벌기 위한 새로운 방법을 항상 찾고 있습니다. 방어 시스템이 새로운 현실에 완전히 재구축될 때까지, 사이버 범죄자들은 자신들의 목적을 위해 여러분의 오래된 및 새로운 약점을 이용할 수 있습니다.
오늘날, 원격 근무 형식은 우리 생활에 굳건히 자리 잡았으며 일부 국가에서는 국가 수준에서도 규제되고 있습니다. 따라서, 정보 보안 전문가들은 기존 보호 시스템이 현대 사이버 도전에 어느 정도 대응할 준비가 되어 있는지 신중하고 서두르지 않고 고려해야 합니다. 우리는 식사를 외출하는 것과 같은, 고려해야 할 필요가 없다고 생각했던 것들까지도 살펴보기 시작해야 했습니다.