지난 한 해는 VPN 취약점으로 인한 두더지 게임이 끊이지 않았으며, 오래된 원격 액세스 시스템을 사용하는 조직은 잠재적인 사이버 공격에 무방비로 노출되어 있습니다. 해커들은 심각도가 높은 Ivanti CVE와 포티넷 FortiVPN 이벤트와 같은 VPN부터 팔로알토 네트웍스 PAN-OS 같은 방화벽, 텔레그램 같은 메시징 애플리케이션에 이르기까지 일상적인 소프트웨어의 심각한 결함을 악용하고 있습니다. 이러한 취약점은 공격자가 원격 코드 실행을 통해 디바이스를 완전히 제어하거나 서비스 거부(DoS) 공격으로 디바이스에 대한 액세스를 차단할 수 있게 함으로써 귀중한 데이터를 위험에 빠뜨립니다.
2023년 12월, 중국 국가 지원 해커가 Ivanti VPN 제품의 제로데이 취약점(CVE-2023-46805 및 CVE-2023-21887)을 악용하여 인증 우회 및 원격 명령 인젝션을 통한 원격 제어를 통한 무단 액세스를 가능하게 했습니다. 패치가 배포된 후에도 공격자들은 새로운 취약점(CVE-2024-21888)을 발견하여 수정 사항을 우회하고 악의적인 활동을 계속했습니다.
올해 2월, 미국 사이버보안 및 인프라 보안국(CISA)은 또 다른 VPN 공격에 대한 경보를 울렸습니다. 이번에는 방화벽, 안티바이러스, 침입 방지 및 가상 VPN 기능을 결합한 Cisco ASA 보안 어플라이언스가 표적이었습니다. 범인은 Windows와 Linux 시스템을 모두 공격하는 Akira 랜섬웨어 그룹이 악용하는 알려진 취약점(CVE-2020-3259)이었습니다. 이 사이버 범죄 조직은 잘못 구성된 WebVPN/AnyConnect 설정을 악용하여 데이터를 훔쳤습니다.
이 가장 최근의 취약점은 팔로알토 네트웍스의 취약점입니다. CVE-2024-3400으로 추적되는 이 중요한 제로데이는 해당 공급업체의 GlobalProtect VPN 제품에 영향을 미칩니다. 팔로알토 네트웍스의 PAN-OS에서 발견된 이 심각한 보안 허점은 공격자가 사용자 이름과 비밀번호 없이도 방화벽 자체와 VPN 연결에 대한 루트 권한으로 모든 제어 권한을 얻을 수 있게 해줍니다. 간단히 말해, 이 제로데이 위협은 10점 만점에 10점이라는 가장 높은 심각도 점수를 받았습니다.
Volexity가 발표한 초기 발견 기사에서 연구팀은 공격자가 디바이스에서 구성 데이터를 내보낸 다음 이를 진입 지점으로 활용하여 표적 조직 내에서 측면으로 이동하는 데 중점을 두었다는 사실을 발견했습니다.
제로데이 익스플로잇을 이용한 이러한 반복적인 공격은 특정 공급업체가 아니라 VPN의 오래된 아키텍처 자체에 문제가 있다는 우려스러운 추세를 강조합니다.
그림 1. CISA는 팔로알토 네트웍스 취약점을 악용한 익스플로잇이 활발히 이루어지고 있음을 확인하는 권고문을 발표했습니다.
이러한 사고가 발생하는 이유는 무엇인가요?
지난 몇 년 동안 SSL VPN 제품은 금전적 동기를 가진 사이버 범죄자와 국가적 핵티비스트 등 다양한 위협 행위자의 표적이 되어 왔습니다. 이 현상을 어떻게 설명할 수 있을까요? 답은 비교적 간단합니다: SSL VPN은 귀중한 기업 데이터의 보고에 액세스하기 위한 진입점 역할을 할 수 있기 때문입니다. 기업 네트워크에 직접 접속할 수 있는 경로를 제공하기 때문에 추가 공격을 위한 중요한 발판이 될 수 있습니다.
그림 2. 레거시 VPN 아키텍처는 공격자에게 계속해서 막대한 기회를 제공합니다.
코로나19 팬데믹 이후 원격 근무가 급증하면서 SSL VPN은 양날의 검으로 변모했습니다. 접근이 쉽기 때문에 공격자는 원격 근무자의 피싱 및 기타 사회공학적 공격에 대한 취약성을 악용할 수 있습니다.
최근 팔로알토 네트웍스 글로벌 프로텍트 취약점과 같은 VPN 및 방화벽 취약점은 또 다른 우려스러운 추세를 보여줍니다. 이는 특정 벤더를 지목하는 것이 아닙니다. 오히려 이러한 기술의 근본적인 설계 결함에 관한 것입니다. 조직은 방화벽과 VPN과 같은 인터넷 연결 자산이 침해의 주요 표적이 될 수 있다는 점을 인식해야 합니다. 공격자는 기존의 레거시 아키텍처를 통해 네트워크 내에서 자유롭게 이동하면서 중요한 데이터를 훔치고 중요한 애플리케이션을 손상시킬 수 있습니다.
미국 사이버보안 및 인프라 보안국(CISA) 과 호주 사이버 보안 센터(ACSC) 는 취약점의 심각성을 고려해 모든 규모의 조직, 특히 정부 기관이 신속하게 대응할 것을 권고하는 지침을 발표했습니다. 이 문서에는 패치를 적용하고 가능한 경우 노출을 제한하는 데 도움이 되는 추가 리소스가 포함되어 있습니다.
그림 3. 호주 사이버 보안 센터(ACSC)는 적극적인 익스플로잇을 확인하는 권고 지침을 발표했습니다.
취약점을 패치하는 것도 중요하지만 제로데이 공격에 대한 진정한 사전 예방적 방어를 위해서는 제로 트러스트 아키텍처가 가장 큰 이점을 제공합니다.
노출을 제한하는 데 도움이 되는 몇 가지 기본 단계가 있습니다:
- 공격 지점을 최소화하세요: 중요한 애플리케이션과 취약한 VPN을 온라인에서 보이지 않게 설정하여 초기 침해를 방지하세요.
- 침해를 제한하세요: 사용자를 애플리케이션에 직접 연결하여 손상된 시스템으로 인한 피해를 최소화하세요.
- 게이트에서 위협을 차단하세요: 모든 트래픽을 지속적으로 검사하여 새로운 위협을 자동으로 차단합니다.
- 액세스 권한을 제한하세요: 무단 작업을 방지하기 위해 사용자에게 필요한 액세스 권한만 부여하세요.
"제로 트러스트"는 보안 업계에서 유행어가 되었지만, 제대로만 활용하면 진정한 가치를 지닌 접근 방식입니다. 제로 트러스트 원칙과 기본 아키텍처를 구현함으로써 기업은 방화벽 및 VPN 제품의 취약점으로 인한 심각한 노출 등 기존 네트워크를 괴롭히는 보안 위험에 효과적으로 대처할 수 있습니다.
VPN에 대한 의존도를 최소화하여 다른 취약점에 의해 다시 노출될 위험을 무효화할 수 있다면, 이 옵션을 살펴보는 것은 어떨까요? 제로 트러스트는 기존의 룰북을 버립니다. 방화벽과 VPN으로 보호되는 기존 네트워크와 달리 제로 트러스트는 중앙의 "신뢰할 수 있는 영역"에 의존하지 않습니다. 대신 사용자와 필요한 특정 리소스 사이에 직접 보안 연결을 생성합니다. 이는 사용자와 애플리케이션에만 적용되는 것이 아닙니다. 제로 트러스트는 워크로드, 지사, 원격 근무자, 심지어 산업 제어 시스템까지 연결할 수 있습니다.
Skyhigh Security 는 요청하는 사용자나 디바이스를 회사 네트워크로 연결하지 않고 승인된 애플리케이션에 안전하게 연결함으로써 이를 가능하게 합니다. 모든 사용자, 장치, 연결은 민감한 리소스에 대한 액세스 권한이 부여되기 전에 지속적으로 확인됩니다. 신뢰는 기본적으로 부여되지 않으므로 사용자의 가용성이나 성능에 영향을 주지 않으면서 항상 데이터 안전과 무결성을 보장합니다.
그림 4. 제로 트러스트 아키텍처가 특히 취약성, 익스플로잇, 측면 이동 공격이 증가하는 상황에서 공격 표면을 크게 제한하는 방법.
이제 보안 리더들이 제로 트러스트를 받아들여야 할 때입니다. 이 클라우드 기반 접근 방식은 방화벽, VPN 및 기타 레거시 기술과 관련된 취약성을 제거하여 공격 표면을 축소합니다. 제로 트러스트는 공격자의 일반적인 진입 지점을 거부함으로써 더 강력한 방어와 강력한 보안 태세를 구축합니다.
참조: