▶ BaroSolution/기술문서

VPN 겨냥한 비밀번호 분사 공격을 방어하기 위한 방안

누리아이티 2024. 4. 28. 07:17

 
가상사설망(VPN, Virtual Private Network)는 별도의 사설 전용망 없이도 암호 기술에 기반한 터널링(tunneling) 프로토콜(통신규약)을 이용해 지점간을 연결함으로써, 저렴한 비용으로 원거리 통신망(WAN)을 구축할 수 있는 네트워크 솔루션을 의미한다.

요즘 들어, 하루가 멀다 하고 해커들의 사이버 공격이 때를 가르지 않고 밤낮없이 발생하고 있다.

방심한 사이를 틈타 눈 깜짝할 사이에 시스템을 마비시키거나 소중한 개인정보를 탈취해 간다.

더욱이 사이버 범죄자들은 날이 갈수록 체계적이고 지능화되어 조직화되는 양상으로 진화하고 있다.

VPN도 마찬가지로 점점 더 노골적인 공격 대상이 되어가고 있다.

이 때문에 회사들은 외부에서 접속하는 우리 직원과 남의 직원을 구분하기가 어려워지고 있다. 이를 이용하여 공격자들은 기계적으로 생성한 사용자 이름들을 무작위로 대입하고 있으며, 이를 통해 피해자 환경에 침투하려 한다. 공격의 표적은 다양하며, 특정 산업군이나 지역을 따로 노리는 것으로 보이지 않는다고 한다.


VPN을 노리는 가장 기본적인 방법은 ‘비밀번호 분사(password spaying)’라고 불리는 것이다. 비밀번호 분사 공격이란, 공격자들이 여러 개 계정들에 아무 비밀번호를 마구잡이로 대입하는 것을 말한다. 주로 디폴트 비밀번호나 사용자들이 자주 설정하는 비밀번호를 대입한다. 그렇게 해서 하나라도 맞아 떨어지면 해당 VPN에 정상적으로 로그인할 수 있게 된다.

원격에서 VPN으로 회사 네트워크에 안전하게 접속하려면 보안에 취약한 디폴트 비밀번호를 버리고 강력한 것으로 대체하거나 한번 사용하고 버리는 일회성/휘발성 같은 동적인 보안 솔루션인 BaroPAM의 일회용 인증키(One-Time Auentication key) 같은 2차 인증(추가 인증) 솔루션을 적용하여 VPN의 비밀번호 분사 공격을 방어해야 한다. 
 


VPN의 비밀번호 분사 공격 방어하기 위해서는 2,3 단계의 과정을 더 거치게 되기 때문에 번거롭고 복잡하다는 생각을 할 수도 있다. 

그러나 이러한 보안과정이 해킹이나 정보 유출로부터 자신의 정보를 안전하게 지켜줄 수 있다. 

그래서 "최신 기술"들은 복잡하고 번거로운 과정을 조금 더 간단하고 쉬우면서도 안전하게 개인의 정보를 지킬 수 있도록 하기 위한 방법으로 발전하고 있다.

처음부터 완전한 보안 시스템은 없으며, 느슨한 구성으로 시작해서 더 견고한 보안 시스템으로 진화하는 것이 매우 중요하다.

간편성과 편리성을 내세우면 보안은 그만큼 허술하며 그 댓가는 혹독할 것이다.

날로 지능화되는 사이버 공격에 대응하기 위하여 무엇 보다도 정보자산에 대한 보안 인식의 대전환이 필요한 시기다.

정보자산의 보안강화를 위해서는 무엇보다도 매번 변하거나 한번 사용하고 버리는 일회성/휘발성 같은 동적인 보안인 일회용 인증키는 본인이 소유하고 있는 일회용 인증키 생성매체를 사용해서 본인이 직접 일회용 인증키를 생성하여 본인이 직접 접근하고자 하는 정보자산에 입력 및 검증해야 그나마 보안 사고를 예방할 수 있는 최선책이다.
 

 

"아무 것도 하지 않으면 중간은 간다"는 건 오래된 말이고, 클라우드 시대에는 통하지 않는 말이다. 새로운 시대에는 새로운 보호 장치가 어울린다. 시스템과 인프라는 자꾸만 새 것으로 바뀌는데 왜 예전 것들을 부여잡고 있는지 각자가 스스로를 검토해야 할 때다.
 

결론은 "2차 인증을 도입했다"는 것이 아니라 기술 및 보안성 등 "어떤 2차 인증을 도입했느냐"가 관건이다.

 

"아무 것도 신뢰하지 않는다" = "아무도 믿지 마라" = "계속 검증하라"
 

앞으로 정보 보안의 흐름은 보안은 강화하고 사용자의 불편함을 최소화하는 방향으로, 기억할 필요가 없는 비밀번호! BaroPAM이 함께 하겠습니다.