'집 밖은 위험?' 안에서도 당한다...코로나 이후, 해커는 재택근무자를 노린다

코로나19 바이러스 확산 이후, 더 이상의 재택 근무는 특별한 사정이 아니다. 대한상공회의소가 발표한 '코로나19 이후 업무 방식 변화 실태 조사'에 따르면 국내 300여 개 기업 중 코로나19 이후 원격 재택 근무를 시행한 기업이 4배 이상 증가했다. 우려했던 업무 문제는 발생하지 않았다. 오히려 84%가 업무 효율성이 개선됐으며, 83%가 만족한다고 답했다.

그러나 특별한 사정은 보안에서 나타났다. 글로벌 보안 기업 체크포인트의 '2021 보안 보고서'에 따르면 랜섬웨어 공격이 코로나 팬데믹 초기인 지난해 3분기부터 급증해 10초에 하나의 기업에 피해를 끼치고 있다고 밝혔다.

특히 코로나19 환자가 몰린 의료기관을 노린 공격이 45%나 늘었으며, 재택 근무가 확산에 따라 침투 경로가 늘었다. 복구 대가로 요구하는 가상화폐의 가격 상승기와 맞물려 더욱 기승을 부렸다고 분석했다. 통계상으로도 피싱, 악성 소프트웨어, 랜섬웨어 등 사이버 공격은 2020년 2월에 약 2만 건 수준의 공격 시도는, 이후 1년 2개월 만에 한 달 80만건 이상으로 급증했다. 재택 근무자를 노리는 공격 루트는 주로 세 가지로 ▲이메일 ▲VPN 취약점 ▲IoT 기기 등이다.

2022년 대선 앞두고 클릭 노리는 악성 이메일 기승 예상돼

이메일을 악용한 사회 공학적 공격 기법은 점점 대담해지고 있다.

이전까지만 해도 보안이 강한 기업 내 인프라에서 접속하기 때문에 보안 수칙에 따라 1차 방어가 가능했지만, 재택 근무 기간 보안 수준이 낮은 가정용 인터넷 연결을 사용하기 시작하면서 그 피해 우려가 높아졌다. 지란지교소프트와 쉐어드IT의 조사에 따르면, 보안 전문가 전체 중 70%가 재택근무 시 가장 우려되는 보안사고로 '사내정보유출과 이메일해킹'을 꼽았다.

이메일 공격은 사용자를 속이는 방식으로 접근하기 때문에 기술적인 방어가 한계가 있어 더욱 취약하다. 안랩 측은 국내에서는 한컴오피스의 취약점을 이용한 공격이 유행하고 있고, 해외에서는 Office 및 PDF를 통한 공격이 주로 발생하고 있다고 설명했다.

게다가 2022년 대선을 앞둔 상황에서 쉽게 클릭을 유발할 수 있는 정치 관련 콘텐츠로 위장한 악성 이메일이 확산될 것으로 예상돼 기업과 보안 업계의 긴장이 높은 상황이다.

이메일을 통한 사이버 공격 사례(출처: 안랩)

'외부 접근? 내부 직원?' VPN도 믿을 수 없는 상황

가상 사설망(VPN)을 경유한 공격도 재택근무자를 노리고 있다. 코로나 팬데믹이 장기화되자, 기업은 재택 근무자에게도 기업 부 네트워크로 접속할 수 있도록 VPN을 활용해 데이터 송수신 가능한 인프라를 제공했다. VPN을 활용해 인터넷으로 연결된 컴퓨터를 독립된 네트워크처럼 운용하는 것.

활용 방법도 쉽다. ISP를 통해 인터넷을 연결하고, 클라이언트 소프트웨어를 사용해 VPN 서버와 함께 연결하며, VPN은 요청받은 웹 페이지를 가져와 안전한 가상 통로를 이용하여 재택 근무자에 전달한다.

그러나 되려 VPN은 공격 루트가 됐다. 공격자가 재택 근무자의 특정 컴퓨터 하나를 해킹해 공격 시작 지점으로 확보하면, VPN으로 연결된 다른 컴퓨터는 해당 공격은 외부 접근이 아닌 내부 신호로 인식하고 감지할 수 없기 때문이다.

해커는 취약점을 보유하고 있는 VPN의 접속 정보를 다크웹을 통해 구매해 침투하거나 앞서 랜섬웨어로 재택근무자의 PC를 확보한 후 내부 시스템 공격을 감행한다. 지난 7월 밝혀진 한국원자력연구원과 대우조선해양, 한국항공우주산업(KAI) 등 해킹 공격 역시 VPN을 통해서 시도됐다.

(출처: MIT)

재택근무자 컴퓨터에 설치된 IoT 기기를 감염시키는 공격도 늘고 있다. IoT 기기 역시 네트워크를 통해 재택근무자와 곧장 연결되어 있기 때문. 안랩에 따르면, 변종 미라이 소스코드와 같은 악성코드가 IoT 기기를 감염시켜 공격 본넷으로 활용되고 있다고 설명했다. 변종 미라이 악성코드는 지난 2016년에 등장했던 미라이 악성코드의 변종으로, 당시 미라이 코드는 IoT 장비를 감염시킨 뒤 표적을 향해 디도스(DDoS) 공격을 수행했다.

게다가 KiraV2 등 변종 미라이 코드는 네트워크와 연결된 IPTV 등 다른 IoT 기기까지 감염 시켜 악성코드를 전파한다. 공격을 통해 확보된 재택 근무자의 계정 정보는 그대로 기업 내부 시스템 침입에 쓰이게 된다. 라온시큐어의 화이트해커 전문 자회사 라온화이트햇은 2021년 주요 보안 위협 중 하나로 홈 IoT 기기 사용 증가로 홈 네트워크 해킹 및 사생활 침해 위험 증가와 함께, 재택 근무 시 취약 네트워크 공격 및 중요 데이터 유출 위험 증가를 지목했다.

속지 않는 최선의 방법은 아무도 믿지 않는 것

그렇다면 최선의 방법은 무엇일까? 보안 전문가들은 '제로 트러스트(Zero Trust)' 네트워크 보안 모델을 제안한다.

제로 트러스트 개념은 ‘아무도 믿지 말라(Don’t Trust Anyone)’는 의미로, 사용자 계정이 네트워크로 접근할 경우 확인된 계정이라 해도 유효성 점검을 통해 접근 권한으로 부여하는 선인증 후접속 방식이다. 유효성 점검은 최초 접속 요구자의 계정 일치 확인, 접근 권한 수준 확인, 신뢰할 수 있는 인가 장비 확인 등이다.

제로 트러스트 보안 모델 기본 개념(출처: 이글루시큐리티)

지난 9월, 미국 정부는 대통령의 행정명령을 통해 제로 트러스트 보안 모델을 산하 기관에 채택했다. 이에 따라 미국 행정부 부서 및 기관은 2022년부터 2024년까지의 제로 트러스트 구현 계획을 제출해야 한다. 민간에서도 제로 트러스트 모델은 속속 확산되고 있다. 마이크로소프트(MS)의 조사 결과, 글로벌 기업 94%가 제로 트러스트 모델을 구축 및 구축 예정 중에 있다고 밝혔다.

황범석 이글루시큐리티 수석은 "제로 트러스트 전략은 모든 접근이 잠재적 보안 위협이라는 것, 결국 아무도 신뢰해서는 안 된다는 것을 기본 전제로 한다"며, "접근 및 제어에서부터 보안 정책까지, 이제는 내부와 외부를 따로 구분하지 않고 데이터를 중심으로 모든 사용자를 의심하고 검증해나가야 한다"고 설명했다.

석대건 기자

daegeon@tech42.co.kr
기자의 다른 기사보기
저작권자 © Tech42 - Tech Journalism by AI 테크42 무단전재 및 재배포 금지

관련 기사

원스토어, 코스피 상장 추진…SK스퀘어, 첫 IPO 자회사

SK스퀘어 출범 후 첫번째 기업공개(IPO) 자회사로 원스토어가 낙점됐다. 지난 1일 SK텔레콤의 기업분할로 SK스퀘어의 자회사가 된 원스토어는 토종 앱마켓 사업이 순항...

퍼즐데이터 ‘프로디스커버리’, 네이버 클라우드 플랫폼의 마켓플레이스 입점

프로세스 마이닝 전문 기업 퍼즐데이터는 퍼즐데이터는 자체 기술력으로 개발한 ‘프로디스커버리(ProDiscovery)가 네이버 클라우드 플랫폼의 마켓플레이스에 입점했다고 26일 밝혔다. 퍼즐데이터 프로디스커버리는 디지털...

제페토 NFT, 라인 블록체인 기반으로 발행된다

네이버Z가 운영 중인 메타버스 플랫폼 ‘제페토(ZEPETO)’의 대체불가능토큰(Non-Fungible Token, NFT)이 라인 블록체인을 기반으로 발행된다. 26일 라인의 블록체인 자회사 라인테크플러스는 일본에서 라인...

KT, 차이나모바일-NTT도코모와 전략적 제휴 2027년까지 연장

KT가 중국의 차이나모바일, 일본의 NTT도코모와 지속적 협력을 이어가며 동북아 ICT 리더십 강화에 나선다. KT가 25일 화상으로 진행된 제 11차 SCFA(Strategic...