재택근무 시대 함정 ‘VPN 해킹’...최고의 해법은 ‘아무도 믿지 말라’ 전략

일본 내 38개 업체가 해킹을 당해 원격근무에 필수적인 VPN(가상사설망)의 인증 정보가 유출됐다고 25일 니혼게이자이신문(닛케이)이 보도했다.

닛케이는 인터넷과 연결된 정보 단말기와 국내외 주요 접속 거점은 항상 해킹 위험에 노출돼 있다며 재택근무 시대를 맞아 정보유출 위험에 대한 대비가 시급하다고 강조했다.

히타치카세이와 스미토모링교 등 일본 대기업에서 VPN 비밀번호와 사용자 ID 정보가 유출된 것으로 드러났다. VPN은 통신 데이터를 암호화해 외부에서 업무 시스템에 연결할 때 사용된다. 많은 기업이 재택근무를 도입하면서 핵심 인프라가 됐지만, 사각지대가 뚫린 것이다. 신문은 사이버 보안에 대한 일본 기업들의 안이한 인식이 이번 사태를 초래했다고 지적했다.

정보가 유출된 기업들은 미국의 VPN 전문 기업인 펄스시큐어의 장비를 이용했다. 펄스시큐어는 자사 VPN 장비와 관련해 지난해 4월 취약점을 공개했으며 수정 프로그램도 제공했다. 일본에서도 민간단체가 거듭 주의를 환기시켰지만, 일부 기업이 대수롭지 않게 생각해 보안 업데이트를 하지 않다가 VPN 정보가 유출된 것이다.

악의를 가진 제삼자가 이번에 유출된 비밀번호 등을 사용하면 직원인 것처럼 사내 시스템에 접속할 수 있다. 실제로 이번에 피해를 본 히라타기계공업은 직원 24명의 ID와 비밀번호가 인터넷상에서 2주 동안 다운로드 할 수 있게 됐다. 또 유출된 계정을 이용한 불법 로그인 시도도 31차례나 있었던 것으로 확인됐다.

VPN은 방어벽의 일종이어서 안전성이 높은 것으로 알려졌지만, 이번 사태로 그 취약성이 드러난 것이다. 그러나 코로나19에 따른 재택근무 흐름은 바뀌지 않아 기업들은 일상적인 리스크 관리 일환으로서 모든 사이버 공격 가능성에 대비해야 한다고 닛케이는 조언했다.

코로나19로 각광을 받게 된 미국 화상회의 서비스 대기업 줌비디오커뮤니케이션도 계정 정보 유출 등에 따른 잦은 해킹 공격으로 의도하지 않은 이미지가 사용자에게 보내지는 등 이른바 ‘줌 폭격(Zoom-bombing)’으로 고통을 받고 있다.

사이버 보안업체 S&J의 미와 노부오 사장은 “지금까지는 기업이 자신의 거점에 전문가를 불러 응급조치 등 대처할 수 있었다”며 “그러나 재택근무 중인 직원의 단말기가 해킹 피해를 봤다면 대처가 어렵다”고 지적했다.

전문가들은 ‘제로 트러스트(Zero Trust)’가 최적의 솔루션이라고 강조한다. ‘아무도 믿지 않는다’는 원칙을 바탕으로 네트워크에 접근하는 모든 사용자를 확인하고 사용자마다 접근할 수 있는 정보를 세세하게 제한하라는 의미다. 여기에는 비밀번호는 물론 지문과 얼굴 인식 등 다단계 인증이 포함된다.

제로 트러스트는 침입 자체를 입구에서 막는 기존 방식과 달리 무단 접근이 있어도 내부에서 다양한 인증의 벽에 막혀 정보 전체를 훔치는 것이 어렵다고 닛케이는 설명했다.