가상사설망(VPN, Virtual Private Network)는 별도의 사설 전용망 없이도 암호 기술에 기반한 터널링(tunneling) 프로토콜(통신규약)을 이용해 지점간을 연결함으로써, 저렴한 비용으로 원거리 통신망(WAN)을 구축할 수 있는 네트워크 솔루션을 의미한다.
VPN은 한마디로 사용자 기기와 서버를 연결하는 암호화 터널 기술이다. 사용자 기기에서 서버로 전송되는 데이터를 안전하게 보호하는 방법이기 때문이다.
VPN(가상 사설망)은 안전한 원격 액세스 방법으로 알려져 있다. 그러나 VPN 전화 앱과 기업용 솔루션에 알려진 취약점이 존재한다.
공격자는 VPN 비밀번호를 훔친 다음, RDP(Remote Desktop Protocol)을 사용해 네트워크 내부 더 깊숙이 침투한다. 또 Mimikatz, PWDump, WDigest 크리덴셜 획득으로 내부망 이동을 한다.
공격자가 통상 RCE(Remote Code Execution)을 매개체로 인증 크리덴셜이 포함된 파일 등 파일을 찾아 탈취할 수 있도록 만드는 취약점이다. 공격자는 이후 입수한 크리덴셜로 VPN에 연결한다. 그런 다음 구성 설정을 바꾸거나 내부망 이동을 통해 내부 인프라에 더 깊숙이 침투할 수 있다.
VPN의 취약점인 로그인-ID와 비밀번호가 유출되어 RDP(Remote Desktop Protocol)을 사용해 원격 접속을 하는 행위를 차단하기 위하여 최적의 방안(최선책)으로 2차 인증(추가 인증)을 적용하고 있다.
정보자산의 보안 강화를 위하여 무엇 보다도 다양한 운영체계나 애플리케이션에 로그인 시 로그인-ID 및 비밀번호 이외에 별도의 추가인증 절차가 필요한데, 이를 2차 인증(추가 인증)이라 일컷는다.
2차 인증은 2 팩터 인증과 2 채널 인증으로 구분한다.
2 팩터 인증은 "지식기반 인증"인 로그인-ID와 비밀번호 인증에 다른 요소 즉 사용자가 가진 OTP, 스마트폰, 보안카드, 보안 토큰 등을 들 수 있으며, 오늘날 스마트 폰과 전용 애플리케이션을 흔히 사용하여 인증하는 “소유기반 인증" 및 지문이나 안면, 정맥, 홍채 같은 사람의 고유한 특징을 통해 인증하는 “속성기반 인증” 요소를 추가한 인증 기법으로 서비스 채널과 인증 채널이 하나로 결합된 형태를 말한다.
2 채널 인증은 2 팩터 인증을 포함한다고 보는 것이 일반적이며, 인증과 서비스를 수행하는 통신망을 서비스 채널과 인증 채널로 물리적으로 분리한 형태를 말한다.
어찌 보면 2 팩터 인증을 포함한 2 채널 인증이 서비스 채널과 인증 채널이 분리되어 있어서 보안에 강할 줄 알았는데, 2 채널 인증은 통신망을 사용하기 때문에 보안지역이나 통신장애에 영향을 받아서 서비스 중단되는 현상이 발생할 수 있다.
요즘 들어서 해커들이 2 채널 인증에 대하여 리버스 프록시와 같은 기술을 적용하여 인증을 우회하는 우회기술 및 푸시 알림을 계속 보내 상대방을 지치게 만들어 우발적으로 승인 버튼을 누르게 만드는 피로공격으로 사이버 범죄가 증가하고 있는 게 현실이다.
중요한 것은 해커들이 VPN에 우회 접속이나 원격접속 및 로그인 계정이나 개인정보의 도난, 스파이 행위, 통신 방해, 데이터 변경 등에 사용되는 중간자 공격을 어떻게 차단하고 방어할 것인지가 매우 중요하다.
정보자산의 보안강화를 위해서는 무엇보다도 매번 변하거나 한번 사용하고 버리는 일회성/휘발성 같은 동적인 보안인 일회용 인증키는 본인이 소유하고 있는 일회용 인증키 생성매체를 사용해서 본인이 직접 일회용 인증키를 생성하여 본인이 직접 접근하고자 하는 정보자산에 입력 및 검증해야 그나마 보안 사고를 예방할 수 있는 최선책이다.
"아무 것도 하지 않으면 중간은 간다"는 건 오래된 말이고, 클라우드 시대에는 통하지 않는 말이다. 새로운 시대에는 새로운 보호 장치가 어울린다. 시스템과 인프라는 자꾸만 새 것으로 바뀌는데 왜 예전 것들을 부여잡고 있는지 각자가 스스로를 검토해야 할 때다.
결론은 VPN에 "2차 인증을 도입했다"는 것이 아니라 기술 및 보안성 등 "어떤 2차 인증을 도입했느냐"가 관건이다.
"아무 것도 신뢰하지 않는다" = "아무도 믿지 마라" = "계속 검증하라"
앞으로 정보 보안의 흐름은 보안은 강화하고 사용자의 불편함을 최소화하는 방향으로, 기억할 필요가 없는 비밀번호! BaroPAM이 함께 하겠습니다.
'▶ BaroSolution > 기술문서' 카테고리의 다른 글
주기적으로 비밀번호를 변경하는 것이 온라인 해킹 침해를 결코 막지 못한다. (0) | 2023.11.27 |
---|---|
‘정부24’ 먹통 사태가 우리에게 시사하는 의미 (0) | 2023.11.19 |
정보자산의 보안 강화를 위한 2차 인증이란? (0) | 2023.09.30 |
무엇 보다도 2차 인증을 우선적으로 도입해야 하는 곳은 바로 다양한 애플리케이션이 운영되는 운영체제(OS)가 가장 기본 (0) | 2023.09.18 |
망분리로 인한 보안이 강화된다는 것은 어불성설이며, 지금은 정보보안에 대한 인식의 대전환이 필요한 시대 (0) | 2023.09.15 |