[컴퓨터월드] 코로나바이러스감염증-19(COVID-19, 이하 코로나19)가 전 세계를 휩쓸며 전례 없는 사태로 번져나가고 있다. 지난해 말 중국 후베이성 우한시에서 발견된 이래, 이미 반년 이상 뚜렷한 대책을 찾지 못하고 확산 일로를 걸었다. 지난 3월에는 세계보건기구(WHO)가 코로나19에 대해 질병 경계 수준의 최고 단계인 팬데믹(pandemic)을 선언했으며, 5월 현재 전 세계에서 감염이 확인된 환자의 수는 500만 명 이상으로 집계됐다.

업계에서는 코로나19 이후의 시대, 즉 포스트 코로나(Post Corona)의 시대에도 이러한 변화가 지속될 것으로 전망했다. 코로나19가 국내외 IT 환경에 가져온 변화, 그리고 앞으로 가져올 변화를 알아봤다.

코로나19(COVID-19)가 디지털 트랜스포메이션을 가속화하고 있다. ‘거리두기’ 캠페인 등으로 인해 재택 및 원격근무 등 근무 환경의 혁신을 위해 디지털 트랜스포메이션이 이뤄지고 있는 것이다. 이러한 혁신은 보안 업계에도 영향을 미치고 있다.

전 세계적인 ‘거리두기’ 캠페인에 따라 원격근무 환경이 확산되고 있지만, 이로 인해 기존 경계 보안의 한계가 더욱 두드러지고 있다. 방화벽 등 네트워크 보안 솔루션으로 대표되는 경계 보안은 조직 시스템을 중심으로 경계를 구축하고, 외부로부터의 침입을 방지한다. 정해진 업무 공간을 보호하기 위한 체계인 것이다.

하지만 원격 및 재택근무가 확산되면서 경계가 모호해지고 있다. 기존 사무실 등 정해진 업무공간 뿐만 아니라, 개인 디바이스, 재택 등으로 보안의 범위가 확장되고 있기 때문이다. 이에 조직들은 경계 보안의 한계를 보완할 수 있는 방안을 모색하고 있다. 원격근무 환경에서 안전하게 조직 시스템에 접근하는 방안과 기업의 주요 데이터를 보호할 수 있는 방안에 주목하고 있다.

언택트 트렌드, 보안 중요성 더 커진다

코로나19 확산이 장기화됨에 따라, ‘언택트(Untact)’가 일상으로 자리잡고 있다. 이제는 사무실에서 회의하는 모습과 같이 원격으로 화상회의를 진행하는 것이 일반화됐다. 특히 국내에서는 바이러스 확산 방지를 위해 교육 또한 원격으로 진행되고 있다.

이러한 ‘언택트’, 원격 환경에서 보안이 무엇보다 중요하다. 예를 들어 재택근무 중 디바이스가 악성코드에 감염된다면, 이를 통해 기업의 시스템도 공격받을 수 있다. 또한 원격 회의 도중 외부인이 회의에 참여해 기업의 주요정보를 빼돌릴 수도 있다. 실제로 학교에서 진행하는 원격수업에 제3자가 침입해 신체 특정 부위를 노출하는 등 폐해가 발생하기도 했다.

화상회의 플랫폼 ‘줌(Zoom)’에서 보안사고가 잇따라 일어나 이슈가 된 바 있다. 미국에서는 줌을 이용한 행사에서 음란물이 재생되는 사건도 있었다. 조사 결과 이 사건은 사이버 공격가 화상회의에 무단으로 침입해 화면 공유기능으로 음란물을 재생한 것이었다.

보안 업계에서는 ‘줌’과 관련된 보안 이슈로 ▲줌 폭격(Zoom-Bombing) ▲종단간 암호화 미지원 ▲제로데이 익스플로잇 ▲줌 계정 거래 ▲멀웨어와 함께 유포된 설치 프로그램 ▲암호화에 대한 의혹 ▲암호화 키를 중국에서 관리 ▲동일한 메일 도메인 사용자에 대한 정보 유출 등이 있었다고 지적한다.

‘줌 폭격’은 진행 중인 줌 희의에 미 인가 사용자가 무단으로 참여하는 경우를 의미한다. 진행 중인 회의의 URL만 알아낼 수 있으면 참여가 가능하다는 것이 문제가 됐다. ‘종단간 암호화 미지원’ 이슈는 줌 회의에 참여한 사용자 간의 암호화가 미지원되는 것으로 알려졌다.

줌과 관련된 제로데이 익스플로잇도 경고가 됐다. 카스퍼스키랩 연구원은 약 500여개의 줌 관 련 의심파일을 경고한 바 있다. 여기에는 애드웨어 등이 포함된다. 제로데이 익스플로잇은 줌 외에도 스카이프(Skype), 웹엑스(WebEx), 고투미팅(GoToMeeting) 등에서도 지적되는 문제다.

이외에도 다크웹에서 줌 계정이 거래되는 정황이 발견된 바 있으며, 설치 프로그램과 암호화폐마이닝 악성코드가 번들로 제공되는 경우도 있었다. 더불어 줌에 적용된 암호화가 AES-256가 아닌 AES-128인 것으로 조사되기도 했다. 암호화키를 중국에서 관리하는 것도 문제로 지적됐다. 일부 줌 서버가 중국에 있어 정보 침해의 소지가 우려되는 부분도 있으며, 동일한 메일 도메인 사용자를 동일 폴더에서 관리해 참가자의 이메일과 이름, 사진이 공유된다는 문제도 지적됐다.

원격근무 환경 노린 사이버 공격도 급증

코로나19로 원격근무 환경이 확산됨에 따라, 이를 노린 사이버 공격도 늘어나고 있다. 특히 긴급재난지원금 신청, 마스크 무료 수령, 재난지원금 상품권 등 이슈를 악용한 공격은 물론, 이력서 등으로 위장한 공격이 늘고 있어 사용자의 각별한 주의가 요구된다.

지난달 12일 이스트시큐리티는 ‘긴급재난지원금 조회 및 안내’를 사칭한 스미싱 공격을 발견했다. 해당 공격은 11일부터 시작된 코로나19 위기 극복을 위한 ‘긴급재난지원금 신청’을 악용해 문자메시지로 유포됐다. 당시 발견된 스미싱 공격은 택배 사칭 메시지가 재활용됐으며, 문자 메시지에 첨부된 URL을 클릭하면 가짜 정부 재난지원금 신청 사이트로 연결된다. 만약 가짜 사이트에 자신의 개인정보를 입력하면, 공격자에게 전달된다. 문종현 이스트시큐리티 시큐리티대응센터장은 “긴급재난지원금과 관련해 국민들의 관심이 높았던 만큼, 관련 이슈를 악용한 공격에 각별한 주의를 기울여야 한다”고 당부한 바 있다.

이외에도 이력서를 사칭해 랜섬웨어를 유포하는 사례가 지속 발견되고 있다. 특히 최근에는 온라인 기반 채용이 증가함에 따라, 이를 악용하고 있는 것으로 보인다. 지난달 발견된 이력서 사칭 악성 메일의 경우 랜섬웨어와 정보탈취 악성코드를 동시에 포함시킨 것이 특징이었다.

이력서를 악용한 메일은 ‘이력서’라는 제목의 압축파일이 첨부돼 있으며, 이 압축파일에는 PDF, 한글문서 파일의 아이콘을 사용해 정상 문서파일로 위장한 실행파일(.exe)이 들어 있다. 한글파일로 위장한 실행파일은 ‘넴티(NEMTY) 랜섬웨어’가, PDF로 위장한 파일은 암호화폐 지갑 정보, 메신저 계정정보, 인터넷 브라우저 정보 등을 유출하는 ‘비다르(Vidar) 악성코드’가 설치된다.

이 외에도 질병관리본부를 사칭하거나, 코로나19 실시간 현황 조회 프로그램으로 위장한 악성 이메일이 유포된 적도 있다. 특히 질병관리본부를 사칭한 악성 이메일은 코로나19 감염현황을 확인할 수 있는 공식 홈페이지 URL을 본문에 포함한 것으로 위장했다. 하지만 이메일 전체가 이미지 파일로 구성돼 클릭시 다른 URL로 연결되며, 로그인을 유도해 사용자의 개인정보를 탈취한다.

사회적 이슈를 악용한 사이버 위협은 지속적으로 증가할 것으로 예상된다. 특히 포스트 코로나 시대, 원격 근무 환경에서는 이러한 위협에 더욱 주의해야 한다. 이에 보안 기업들은 업무용 디바이스는 물론, 개인 디바이스에서도 ▲소프트웨어 최신 업데이트 유지 ▲안티 바이러스 등 보안 솔루션 사용 ▲이메일 내 URL 및 첨부파일 실행 주의 등 필수 보안 수칙을 지켜야 한다고 당부한다.

NAC 및 VPN 등으로 원격근무 환경 보호

코로나19 확산 방지를 위해 많은 조직들이 신속하고 과감한 의사결정을 통해 재택근무에 돌입했다. 그러나 그 과정에서 대부분 업무 연속성 및 효율성을 중요시하고, 보안은 뒷전으로 미뤄왔다. 조직들은 빠른 시간 안에 업무 중단을 최소화하고 재택근무를 수행하기 위한 방안으로 ▲고객 장애대응을 위해 도입했던 원격지원 서비스를 재택근무에 활용 ▲VPN(Virtual Private Network)을 통해 회사 PC에 원격접속(Remote Desktop)해 업무를 수행하는 방법 ▲사내에 도입된 VDI(Virtual Desktop Infrastructure)를 활용해 업무를 진행하는 방법 등을 선택했다.

안전한 사내 시스템 접속을 위해 가장 많이 사용하는 것이 ‘가상사설망(VPN)’이다. VPN은 방화벽, 침입 탐지/방지 시스템(IDS/IPS) 등과 함께 일반적인 보안 솔루션 중 하나다. 기업에서는 주요 데이터를 보호하기 위해 인터넷과 구별되는 별도의 임대회선으로 네트워크를 구축한다. VPN은 인터넷 회선을 임대회선과 비슷하게 사용할 수 있도록 지원하는 솔루션이다. 임대회선 대비 저렴한 비용으로 안전한 통신 환경을 구축할 수 있다.

최근 도입되는 VPN은 ‘보안 소켓 계층(SSL: Secure Sockets Layer)’ 프로토콜 기반이다. 웹 브라우저와 서버간 통신에서 정보를 암호화하는 SSL 프로토콜을 사용하기 때문에 구축이 간편하고 비용을 절감할 수 있다.

박경순 펄스시큐어 한국지사장은 “원격근무 시 조직 내부 자원에 안전하게 접근하는 것은 가장 기본적인 사항이다. 이를 위해 필요한 기본적인 솔루션이 VPN”이라고 설명했다. 이어 “이제는 직원 및 부서별 접근 허용 정책을 더욱 명확하게 설정해야 한다. 이뿐만 아니라 클라우드 서비스에 대한 접근 정책도 필요하다. 이외에도 디바이스 특히 개인 디바이스에 대한 보안 규정 준수 여부를 확인하는 등 보안 조치를 통해 원격근무 환경을 보호해야 한다”고 당부했다.

박경순 지사장은 “펄스시큐어는 원격 보안 액세스 솔루션만을 연구 개발하는 기업이다. 코로나19로 많은 기업들이 원격근무를 위해 긴급하게 원격 보안 액세스 솔루션을 도입하는 환경에서, 안정적인 재택근무 환경을 구현할 수 있도록 지원하고 있다. 펄스시큐어는 멀티클라우드를 포함한 하이브리드 IT 환경에 적합한 차세대 통합 원격 보안 액세스 솔루션을 제공해, 포스트 코로나 시대에도 안정적인 근무환경을 구축할 수 있도록 지원하겠다”고 말했다.

원격근무 환경에서 내부 시스템에 접속하는 디바이스를 통제하기 위한 방안도 논의되고 있다. ▲접속하는 디바이스가 사내 네트워크에 등록된 디바이스인지 ▲디바이스 내 OS 및 SW 최신 업데이트 유지되고 있는지 ▲안티바이러스 등 보안 솔루션이 설치돼 있는지 등을 확인해야 한다는 것이다. 특히 ‘제로 트러스트(Zero Trust)’ 보안 정책을 적용해 모든 네트워크 접근을 의심하고, 점검 및 모니터링해야 한다고 강조했다.

이러한 요구사항에 따라 ‘네트워크 접근 제어(NAC: Network Access Control)’ 솔루션이 주목받고 있다. NAC 솔루션을 구축하면 디바이스 접근을 통제할 수 있고, 업데이트와 필수 소프트웨어 설치 등을 강제화해 보안 정책을 유지할 수 있기 때문이다.

‘엔드포인트 탐지 및 대응(EDR: Endpoint Detect & Response)’도 하나의 방안으로 주목받고 있다. ‘EDR’은 안티바이러스 이상의 단말 보안 수준을 유지할 수 있으며, 특히 단말 가시성은 필요시 재택근무자의 활동 내용을 확인할 수 있다. 이와 더불어 중요한 데이터의 생성 및 이동 경로를 파악해 데이터 유출을 예방 또는 대응할 수 있다.

지니언스 관계자는 “코로나19로 조직의 디지털 트랜스포메이션이 급속도로 진행되고 있다. 업무의 형태뿐만 아니라, 업무 수행의 장소, 업무를 수행하는 방법 등 모두 달라지고 있다. 급변하는 상황에서 가시성 확보에 기반한 식별, 인증, 통제는 필수”라고 설명했다.

이어 “지금까지 우리는 IT 환경을 안전하고 신뢰될 수 있는 내부와, 위험하고 신뢰할 수 없는 외부로 구분했다. 보안의 기본은 외부에서 내부로 가해지는 위협을 차단하는 방어위주의 전략이었다. 하지만 이제는 IT 인프라와 데이터가 내부에만 머무르지 않는다. 물리적 경계는 의미가 없으며 시간의 제약도 사라졌다. 사용자, 단말, 데이터에 대한 절대 신뢰와 안전을 보증할 수 없는 시대로 바뀌고 있다. 이러한 변화 속에서 과거 IP 기반(영역기반)의 보안 모델은 힘을 잃어 가고 있다. 그렇기에 ZTNA(Zero Trust Network Access)를 실현해야 한다. IP 중심의 접근 통제가 아닌 데이터/서비스 중심의 접근 중심이 강조되는 시기다”라고 강조했다.

데이터 중심으로 보안 패러다임으로 변화

하지만 보안 업계 일각에서는 VPN, VDI 등을 활용한 원격근무 환경도 안심할 수 없다고 지적한다. VPN을 통한 원격 접속을 사용하는 경우 외부의 파일을 사내로 반입하는 과정에서 악성코드가 사내로 전파될 수 있고, 사내의 업무 파일을 재택업무 장비에 다운로드할 수 있어 정보 유출에 대한 우려도 있다. 이에 문서의 업로드/다운로드가 철저히 통제돼야 한다는 설명이다.

VDI와 같이 특수 목적의 접속환경을 구축하고 모든 업무는 VDI내부에서 수행하도록 하고 파일 업로드 및 다운로드를 차단하도록 구성한 경우 악성코드의 공격이나 네트워크 공격 등에 비교적 안전하다고 할 수 있으나 통제되지 않은 위치에 있기 때문에 화면 캡쳐나 사진 찍어 유출하는 것에 대한 보안 방안이 부족하다.

이에 보안 업계에서는 ‘데이터 중심’으로 보안 패러다임을 바꿀 때라고 강조한다. 원격 및 재택근무 환경에서는 직원들이 외부에서 내부 정보로 접근하는 빈도가 높아지기 때문에 정보 유출 가능성이 높아질 수 있다는 지적이다. 데이터 보안 기업들은 이러한 환경에서 직원 PC에 있는 데이터를 보호하기 위해 DRM, DLP, 데이터 암호화, 문서중앙화 등 데이터 보안 솔루션과 개인정보보호 솔루션을 구축해야 한다고 조언한다.

강봉호 파수 본부장은 “최근 코로나19로 원격 및 재택근무 환경이 확산됨에 따라, 개인 PC에서도 조직의 데이터를 보호할 수 있는 방안이 요구되고 있다. 실제로 이러한 요구사항은 DRM 및 암호화 솔루션에 대한 문의로 이어지고 있으며, 데이터 식별 및 분류에 대한 수요도 나타나고 있다”고 설명했다.

기업들이 제안하는 데이터 보안 방안은 크게 두 가지다. 주요 데이터를 DRM, 암호화 등으로 보호하는 방안과 문서중앙화 솔루션을 통해 원칙적으로 개인 PC에 데이터를 저장하지 않는 방안 등이다.

먼저 DRM 및 암호화를 적용해 문서를 보호한다. 암호화를 적용했기 때문에 원칙적으로 외부에서 문서를 확인할 수 없다. 허가된 이용자만이 문서를 복호화해 업무에 활용할 수 있다. 파수는 이러한 데이터 보호를 위해서는 식별 및 분류가 선행돼야 한다고 강조한다. 문서에 어떤 내용이 포함돼 있고, 어디에 저장돼 있는지 등 추적이 가능해야 관리가 쉬워진다는 설명이다. 강봉호 본부장은 “파수는 데이터를 중심으로, PC·모바일·VDI·웹OS 등 다양한 업무환경에서 보안과 사용성을 높이는데 초점을 맞추고 있다”고 덧붙였다.

마크애니는 여기서 더 나아가 화면 캡처, 사진 촬영 등으로 인한 데이터 유출도 방지해야 한다고 강조한다. 이와 더불어 직원PC 내 데이터의 보호를 위해 데이터보안, 개인정보보호 솔루션을 구축해 불법적인 데이터 이동, 공유를 방지해야 한다고 덧붙였다.

마크애니 관계자는 “원격 및 재택근무가 보편화되면 이에 걸맞게 보안 솔루션도 새롭게 구성해야 한다. 여기에는 개인보안에 초점을 맞춘 전략이 필요하다. 원격근무 특성상 데이터 분실 및 외부 침입을 막을 수 있는 환경을 조성하기 어렵기 때문”이라면서, “최근 발표되고 있는 연구에서 암호화가 다시 대두되는 것도 개인 보안과 연결된다. 코로나 이슈, 재택근무의 확산으로 개인이 가지고 있는 개별 데이터에 대한 유출방지 및 보호의 필요성이 증가하고 있기 때문이다. 데이터 유출시에도 외부자는 확인이 어려워야 한다. 이제 보안의 중점을 내부시스템에서 개별 사용자로 전환해야 할 시기”라고 설명했다.

이와 더불어 마크애니는 재택 및 원격근무에서 보안 정책을 적용하는 경우, 정책의 수준을 어느 범위까지 도입할지 적절히 고민해야 한다고 말한다. 업무영역의 경계가 모호해지는 만큼, 직원 개인의 프라이버시를 침해할 수 있다는 것이다. 마크애니 관계자는 “업무환경에 있던 보안 솔루션을 외부에 적용하면서, 보안영역과 개인영역을 반드시 구분해야 하다. 코로나19 이후 개인 디바이스로 업무를 하는 경우가 늘어난다면 조직에서 요구하는 높은 수준의 보안성을 강제하기 어렵다. 따라서 개인에게 어느 정도 범위까지 보안을 적용할 것인지에 대한 적절성 고려가 필요하다”고 설명했다.

문서중앙화 공급 기업들은 원격 및 재택근무 환경에서 조직의 정보와 업무 데이터를 중앙 집중화해 통합 관리하는 보안 전략을 수립해야 한다고 강조한다. 문서, 이메일, 메신저 등 기업의 모든 콘텐츠를 중앙화함으로써 업무의 효율과 보안성을 동시에 높일 수 있다는 것이다. 또한 비대면 환경에서 업무 성과 측정을 위해 성과 측정 도구와 모니터링 도구가 필요하다고 덧붙였다.

특히 지란지교시큐리티는 원격근무 환경을 노린 보안위협, 조직 내부 직원을 타깃으로 한 공격이 높은 빈도와 정확도로 시도될 것으로 예측했다. 이러한 소셜 엔지니어링 공격에 대비하기 위해서는 지속적인 모의훈련 등 방어활동이 필요하다고 설명했다.

지란지교시큐리티 관계자는 “지란지교시큐리티는 원격근무 시 중요 정보 유출을 방지하기 위한 방안으로, 문서중앙화 솔루션 ‘다큐원(DocuONE)’에 재택근무 모드를 추가했다. 문서중앙화 솔루션은 모든 업무 문서를 중앙서버에 저장하고, 개인 PC나 로컬로의 저장을 금지한다. 재택근무 시에는 ‘재택근무 모드’로 전환해 자택의 개인 PC에 에이전트 설치만으로 사내의 동일한 보안 정책 내에서 바로 업무를 진행할 수 있다. 또한 각자 자택에서 근무하고 있는 동료들과의 원활한 협업 환경도 구성할 수 있다. 재택근무 종료 후 사무실로 출근해도 재택근무 시 생성한 문서들을 그대로 활용할 수 있어 업무의 영속성을 보장한다”고 말했다.

한편 소프트캠프는 코로나19로 확산된 재택근무 환경을 지원하기 위해 재택근무 솔루션 출시를 준비하고 있다. 소프트캠프는 코로나19 이후 다양한 이유로 재택근무가 일상화될 것으로 예상하고, 사용자가 조직 내에서 사용하는 업무환경에 보안이 추가된 상태로 재택근무할 수 있도록 지원한다는 방침이다.

출시 예정인 소프트캠프의 재택근무 솔루션 제품은 전염병 확산과 같은 재난 상황시, 웹 브라우저만으로 회사 업무 PC에 원격으로 접속해 근무할 수 있도록 지원한다. 회사에서 재택근무자를 지정하고, 대생자가 업무PC를 재택근무 환경으로 설정하면 쉽게 이용할 수 있다. 소프트캠프는 정보유출을 방지하기 위해 은닉스크린 마킹 기능을 적용했다.

언택트 생체인증에도 문의 증가

생체인식 분야에서도 코로나19의 영향이 나타나고 있다. 기존 시장의 주류를 이루고 있던 지문인식을 대신해 얼굴 및 홍채인식 제품에 대한 수요가 늘어나고 있다는 것이다. 유럽에서는 코로나19 확산을 방지하기 위해 지문인식 단말기를 사용하지 않도록 권고한 바 있다. 이에 대안으로 비접촉 생체인식 제품인 얼굴 및 홍채인식 제품에 대한 문의가 늘어나고 있다. 생체인식 업계는 얼굴 및 홍채인식 제품에 대한 수요가 지속적으로 증가할 것으로 전망하고 있다. 이와 더불어 향후에는 모바일 및 RF카드를 이용해 다중 인증 방식이 각광받을 것으로 예측했다.

허성 유니온커뮤니티 전무는 “코로나19 확산 이후 얼굴 및 홍채인식 제품에 대한 문의가 늘어나고 있다. 지문인식이 바이러스를 확산시킬 수 있다는 우려가 있기 때문으로 보인다”면서 “최근 얼굴 및 홍채인식 SW가 발전함에 따라 인식률이 빠르게 개선되고 있다. 인식할 수 있는 거리도 늘어났으며, 속도도 빨라졌다. 홍채인식의 경우 카메라 틸팅 기능을 활용해 카메라가 자동으로 사용자의 눈을 찾는다. 특히 얼굴 및 홍채인식 제품에 열화상카메라를 탑재해 바이러스 확산 방지에 기여하는 방안도 연구되고 있다”고 설명했다.

이어 “지문센서가 바이러스 확산에 직접적인 영향은 없지만, 소비자의 불안 심리를 자극하고 있다. 이에 유니온커뮤니티는 지문인식 제품에 살균 기능을 추가하거나, 향균필터 위에서 지문을 인식하는 등 다양한 방안을 연구하고 있다”고 덧붙였다.

포스트 코로나, 비대면 근무 체제를 마련해야

포스트 코로나 시대에는 코로나19와 같은 전염병이 더 잦은 횟수로 발생하고, 확산될 것으로 전망된다. 이에 따라 기관 및 기업들은 전염병 확산 방지를 위한 비상 근무 체계를 마련해놔야 한다. 설령 코로나19가 종식되고 업무환경이 이전으로 회귀한다고 해도, 언제든지 원격근무를 할 수 있는 방안이 마련돼야 하는 것이다.

이러한 환경에서도 보안은 필수적이다. 기존 업무 환경은 물론, 원격 근무 환경까지 보호할 수 있는 새로운 보안 전략이 요구된다. VPN, 데이터 보안 등 다양한 보안 솔루션을 활용해 조직에 맞는 최적은 보안 전략을 구성해야 한다.