[현장] 재택‧하이브리드 업무환경 변화…“새로운 보안 대응 필요”

[이뉴스투데이 김영민 기자] 코로나19가 불러온 디지털 전환이 보안환경 역시 급변하는 상황을 만들었다. 재택 근무환경의 일반화와 새로운 보안위협의 등장으로 기존에 투자했던 보안 솔루션의 활용이 어려워졌고 보안 인력 부담도 증가했다.

클라우드 보안기업 멘로시큐리티는 5일 ‘멘로 클라우드 보안 서밋 2022 아시아 로드쇼’ 한국 행사를 개최했다. 최근 사이버 위협에 대해 소개하고 대응 방안으로 공격을 사전에 방어할 수 있는 클라우드 기반의 제로트러스트 보안 서비스를 제시했다.

멘로시큐리티는 렌섬웨어의 증가, 재택·하이브리드 근무의 일반화, 보안인력의 부족 등이 전 세계가 직면한 보안 위협이라고 강조하고 모든 위협이 서로 밀접하게 얽혀 있다고 설명했다. 

재택·하이브리드 근무가 일반화 되면서 보안 관리 포인트가 증가하고 인력부족으로 모든 취약점을 관리하기 어려워졌기 때문이다. 이를 노린 랜섬웨어 공격도 증가하고 있다. 

멘로시큐리티는 가장 우선되는 사이버 위협으로 랜섬웨어를 꼽았다. 지난 2019년 감소세에 있던 랜섬웨어가 지난해부터 급증하기 시작했고 이제는 사라지지 않을 위협이 됐다는 설명이다.

랜섬웨어 피해가 확인된 이후에는 백업과 복구 외에는 선택지가 없고 비용을 지불할 경우 공격자 사이에서 비용을 지불하는 기업으로 알려지며 더 큰 위협에 직면할 수 있다고 조언했다. 백업 역시 공격자의 타깃 중 하나로 100% 복구를 보장할 수 었다.

마크 건트립(Mark Guntrip) 멘로시큐리티 사이버 보안전략 담당 이사는 “랜섬웨어 피해는 한 순간에 일어나는 상황이 아닌 여러 단계를 거쳐서 진행된다”며 “공격자들은 네트워크에 진입해 전체 활동을 파악하고 무엇을 할 수 있는지, 이메일과 시스템 등은 누가 사용하는지를 면밀히 살피고 암호화를 한 후 데이터 복구를 한 후 금전을 요구한다”고 말했다.

이어 “공격자는 백업에 대한 암호화 접근방식 등에 대해서도 살펴보고 공격을 실행한다”며 “효과적으로 랜섬웨어를 막기 위해서는 가장 첫 단계인 진입부터 막아야 한다”고 덧붙였다.

특히 최근에는 대부분의 기업이 보안 탐지 대응 역량을 강화하면서 히트어택으로 불리는 고도의 회피 적응형 기법이 활용되면서 새로운 보안 정책의 마련도 필요해졌다.

히트공격은 정적 및 통적 콘텐츠 분석을 회피하는 기법으로 대용량 파일 및 아카이브를 사용해 공격하며 네트워크 및 보안 웹게이트웨이에서의 콘텐츠 검사를 피하고 파일 기반 정책을 우회해 악성파을을 PC로 전달하는 수법이다.

압축파일을 직접 다운로드하는 대신 파일을 여러 개의 작은 조각으로 분할하고 동시에 다운로드하면서 분석이 불가능하다. 지난해 솔라윈즈 공급망 공격에 해당 기법이 사용됐다.

멘로시큐리티가 조사한 바에 따르면 지난해 하반기 50만개의 악성 URL을 분석한 결과 70%가 히트어택 기법을 사용하고 있었다.

건트립 이사는 “새로운 기법이 등장은 대부분의 기업 조직이 보안 대응역량을 갖추면서 공격자들은 탐지를 회피하고 분석작업을 피하는 유형의 공격에 초점을 맞추고 있다”며 “대응할 방법을 마련하지만 숨어있는 악성파일을 찾기에는 작업량은 물론 다 찾아내기에는 어려움이 있고 하나만 남아도 랜섬웨어 공격은 계속된다”고 말했다.

재택근무 환경도 새로운 보안 시스템을 구축해야 하는 이유다. 코로나19 펜데믹 확산 후 재택근무가 일반화되면서 작업환경이 익숙해졌기 때문이다. 기업의 보안 담당자는 직원들의 불편함 없는 수준에서 보안을 향상시켜야 하는 과제에 직면했으며 기존의 보안환경으로는 통합 관리에 어려움이 따르기 때문이다.

불편함을 야기한다면 재택근무 상황에서 다양한 우회방법 찾기 위한 노력이 이어지고 보안 위협이 더욱 증가할 수밖에 없다.

건트립 이사는 “재택근무 상황에서도 사무실에서와 같이 프리이빗 어플리케이션 접근이나 이메일, 서버 접근에 가능해야 한다”며 “코로나 이전에는 중앙집중 방식의 업무환경이었다면 이제는 달라져야 한다”고 말했다.

이어 “보안 담당자는 직원들이 언제 어디서 일하든 통합적으로 관리할 수 있는 방안을 마련해야 한다”고 설명했다.

이외에도 합법적인 웹사이트를 위장해 수개월간 운영 후 악성코드를 유포하거나 신뢰할 수 있는 브랜드의 웹사이트를 해킹한 후 악성파일을 유포하는데 사용하기도 한다. 사람과 로봇을 구별하기 위해 만들어진 인증 수단을 사용한 기법도 확인되고 있다.

또한 멘로시큐리티는 효율적인 대응 수단으로 모든 어플리케이션과 서버, 이메일 등 모든 요소에 제로트러스트를 적용해야 한다고 강조했다. 업무관련 데이터와 어플리케이션이 정해진 공간이 아닌 모든 곳에 존재하게 되면서 어떤 것도 신뢰할 수 없다는 관점에서 접근할 필요가 있다.

스테파니 부(Stephanie Boo) 멘로시큐리티 부사장은 “멘로시큐리티는 모든 인터넷 콘텐츠를 클라우드상에서 우선 격리시켜 실행해 업무환경에 영향을 미치지 않으면서도 강력한 보안환경을 구축할 수 있도록 한다”며 “현재 멘로시큐리티는 전 세계 공공기관과 대기업, 금융 서비스, 의료, 중요 인프라 등을 고객으로 확보하고 있으며, 하루에 5억 개 이상의 웹 사이트를 격리하고 있다”라고 강조했다.

국내 시장을 담당하는 김성래 멘로시큐리티 코리아 지사장도 “보안 위협이 더욱 정교해지고, 새로운 위협의 지속적인 등장하고 있어 IT 관리자들은 랜섬웨어, 멀웨어, 피싱을 비롯한 지능형 위협을 빠르게 식별하고 완벽하게 대응할 수 있는 클라우드 기반 보안 플랫폼 도입에 나서고 있다”며 “멘로시큐리티 격리 기술을 활용하면 모든 인터넷 콘텐츠와 웹사이트가 악의적이라고 가정해 보안상 안전한 곳이 없다는 정책 기반의 제로트러스트 인터넷 환경 구축이 가능하다”라고 말했다.