'집 밖은 위험?' 안에서도 당한다...코로나 이후, 해커는 재택근무자를 노린다

코로나19 바이러스 확산 이후, 더 이상의 재택 근무는 특별한 사정이 아니다. 대한상공회의소가 발표한 '코로나19 이후 업무 방식 변화 실태 조사'에 따르면 국내 300여 개 기업 중 코로나19 이후 원격 재택 근무를 시행한 기업이 4배 이상 증가했다. 우려했던 업무 문제는 발생하지 않았다. 오히려 84%가 업무 효율성이 개선됐으며, 83%가 만족한다고 답했다.

그러나 특별한 사정은 보안에서 나타났다. 글로벌 보안 기업 체크포인트의 '2021 보안 보고서'에 따르면 랜섬웨어 공격이 코로나 팬데믹 초기인 지난해 3분기부터 급증해 10초에 하나의 기업에 피해를 끼치고 있다고 밝혔다.

특히 코로나19 환자가 몰린 의료기관을 노린 공격이 45%나 늘었으며, 재택 근무가 확산에 따라 침투 경로가 늘었다. 복구 대가로 요구하는 가상화폐의 가격 상승기와 맞물려 더욱 기승을 부렸다고 분석했다. 통계상으로도 피싱, 악성 소프트웨어, 랜섬웨어 등 사이버 공격은 2020년 2월에 약 2만 건 수준의 공격 시도는, 이후 1년 2개월 만에 한 달 80만건 이상으로 급증했다. 재택 근무자를 노리는 공격 루트는 주로 세 가지로 ▲이메일 ▲VPN 취약점 ▲IoT 기기 등이다.

2022년 대선 앞두고 클릭 노리는 악성 이메일 기승 예상돼

이메일을 악용한 사회 공학적 공격 기법은 점점 대담해지고 있다.

이전까지만 해도 보안이 강한 기업 내 인프라에서 접속하기 때문에 보안 수칙에 따라 1차 방어가 가능했지만, 재택 근무 기간 보안 수준이 낮은 가정용 인터넷 연결을 사용하기 시작하면서 그 피해 우려가 높아졌다. 지란지교소프트와 쉐어드IT의 조사에 따르면, 보안 전문가 전체 중 70%가 재택근무 시 가장 우려되는 보안사고로 '사내정보유출과 이메일해킹'을 꼽았다.

이메일 공격은 사용자를 속이는 방식으로 접근하기 때문에 기술적인 방어가 한계가 있어 더욱 취약하다. 안랩 측은 국내에서는 한컴오피스의 취약점을 이용한 공격이 유행하고 있고, 해외에서는 Office 및 PDF를 통한 공격이 주로 발생하고 있다고 설명했다.

게다가 2022년 대선을 앞둔 상황에서 쉽게 클릭을 유발할 수 있는 정치 관련 콘텐츠로 위장한 악성 이메일이 확산될 것으로 예상돼 기업과 보안 업계의 긴장이 높은 상황이다.

이메일을 통한 사이버 공격 사례(출처: 안랩)

'외부 접근? 내부 직원?' VPN도 믿을 수 없는 상황

가상 사설망(VPN)을 경유한 공격도 재택근무자를 노리고 있다. 코로나 팬데믹이 장기화되자, 기업은 재택 근무자에게도 기업 부 네트워크로 접속할 수 있도록 VPN을 활용해 데이터 송수신 가능한 인프라를 제공했다. VPN을 활용해 인터넷으로 연결된 컴퓨터를 독립된 네트워크처럼 운용하는 것.

활용 방법도 쉽다. ISP를 통해 인터넷을 연결하고, 클라이언트 소프트웨어를 사용해 VPN 서버와 함께 연결하며, VPN은 요청받은 웹 페이지를 가져와 안전한 가상 통로를 이용하여 재택 근무자에 전달한다.

그러나 되려 VPN은 공격 루트가 됐다. 공격자가 재택 근무자의 특정 컴퓨터 하나를 해킹해 공격 시작 지점으로 확보하면, VPN으로 연결된 다른 컴퓨터는 해당 공격은 외부 접근이 아닌 내부 신호로 인식하고 감지할 수 없기 때문이다.

해커는 취약점을 보유하고 있는 VPN의 접속 정보를 다크웹을 통해 구매해 침투하거나 앞서 랜섬웨어로 재택근무자의 PC를 확보한 후 내부 시스템 공격을 감행한다. 지난 7월 밝혀진 한국원자력연구원과 대우조선해양, 한국항공우주산업(KAI) 등 해킹 공격 역시 VPN을 통해서 시도됐다.

(출처: MIT)

재택근무자 컴퓨터에 설치된 IoT 기기를 감염시키는 공격도 늘고 있다. IoT 기기 역시 네트워크를 통해 재택근무자와 곧장 연결되어 있기 때문. 안랩에 따르면, 변종 미라이 소스코드와 같은 악성코드가 IoT 기기를 감염시켜 공격 본넷으로 활용되고 있다고 설명했다. 변종 미라이 악성코드는 지난 2016년에 등장했던 미라이 악성코드의 변종으로, 당시 미라이 코드는 IoT 장비를 감염시킨 뒤 표적을 향해 디도스(DDoS) 공격을 수행했다.

게다가 KiraV2 등 변종 미라이 코드는 네트워크와 연결된 IPTV 등 다른 IoT 기기까지 감염 시켜 악성코드를 전파한다. 공격을 통해 확보된 재택 근무자의 계정 정보는 그대로 기업 내부 시스템 침입에 쓰이게 된다. 라온시큐어의 화이트해커 전문 자회사 라온화이트햇은 2021년 주요 보안 위협 중 하나로 홈 IoT 기기 사용 증가로 홈 네트워크 해킹 및 사생활 침해 위험 증가와 함께, 재택 근무 시 취약 네트워크 공격 및 중요 데이터 유출 위험 증가를 지목했다.

속지 않는 최선의 방법은 아무도 믿지 않는 것

그렇다면 최선의 방법은 무엇일까? 보안 전문가들은 '제로 트러스트(Zero Trust)' 네트워크 보안 모델을 제안한다.

제로 트러스트 개념은 ‘아무도 믿지 말라(Don’t Trust Anyone)’는 의미로, 사용자 계정이 네트워크로 접근할 경우 확인된 계정이라 해도 유효성 점검을 통해 접근 권한으로 부여하는 선인증 후접속 방식이다. 유효성 점검은 최초 접속 요구자의 계정 일치 확인, 접근 권한 수준 확인, 신뢰할 수 있는 인가 장비 확인 등이다.

제로 트러스트 보안 모델 기본 개념(출처: 이글루시큐리티)

지난 9월, 미국 정부는 대통령의 행정명령을 통해 제로 트러스트 보안 모델을 산하 기관에 채택했다. 이에 따라 미국 행정부 부서 및 기관은 2022년부터 2024년까지의 제로 트러스트 구현 계획을 제출해야 한다. 민간에서도 제로 트러스트 모델은 속속 확산되고 있다. 마이크로소프트(MS)의 조사 결과, 글로벌 기업 94%가 제로 트러스트 모델을 구축 및 구축 예정 중에 있다고 밝혔다.

황범석 이글루시큐리티 수석은 "제로 트러스트 전략은 모든 접근이 잠재적 보안 위협이라는 것, 결국 아무도 신뢰해서는 안 된다는 것을 기본 전제로 한다"며, "접근 및 제어에서부터 보안 정책까지, 이제는 내부와 외부를 따로 구분하지 않고 데이터를 중심으로 모든 사용자를 의심하고 검증해나가야 한다"고 설명했다.

석대건 기자

daegeon@tech42.co.kr
기자의 다른 기사보기
저작권자 © Tech42 - Tech Journalism by AI 테크42 무단전재 및 재배포 금지

관련 기사

토스뱅크, 이은미 대표 공식 선임…”혁신 SNA 이어가며 성장 지속가능성 확보할 것”

토스뱅크는 28일 정기 주주총회와 이사회를 열고 이은미 대표이사 선임의 건을 승인했다고 밝혔다. 임원후보추천위원회는 토스뱅크의 성장과 혁신, 그리고 안정감을 부여할 수...

카카오, 정신아 대표이사 선임…'AI 전담 조직 신설' '조직 개편' 돌입

카카오는 28일 오전 제주도 카카오 본사에서 개최한 제 29기 정기 주주총회 및 이사회에서 정신아 대표이사를 신규 선임했다고 밝혔다. 지난해 12월...

필라이즈, '슈가케어' 무료 체험 이벤트 진행...2주간 식단·혈당 관리 지원

초개인화 건강관리 플랫폼 필라이즈는 연속혈당측정기(CGM) 프리스타일 리브레 센서를 보유한 사용자 대상으로 AI 혈당 관리 프로그램 ‘슈가케어’의 2주 무료 체험 이벤트를...

어밸브, 한국의 스마트팜 기술을 베트남에 알리다

인공지능 스마트팜 솔루션 기업인 어밸브(AVALVE)는 베트남 하노이에서 개최된 ‘한국-베트남 중소벤처기업 써밋’에서 투자설명회를 가졌다고 28일 밝혔다. 지난 21일 진행된 한국-베트남 중소벤처기업...