VPN의 보안 취약점으로 인해 ZTNA가 더욱 빠르게 도입될까요?

VPN의 가장 큰 보안 리스크는 설계상 경계 방화벽 포트를 열어야 하는 인바운드 네트워크 연결이 필요하다는 점입니다. 이렇게 잘 알려진 보안 리스크를 방어하기 위해 VPN 인프라는 일반적으로 VPN을 나머지 기업 네트워크와 차단하는 비무장 영역에 배치됩니다.

접속 제어를 추가하고 방화벽 같은 추가 보안 솔루션으로 내부 네트워크를 세그멘테이션해 추가적인 보호 기능을 제공하며, 최근에는 마이크로세그멘테이션을 사용하는 경우도 증가하고 있습니다.

그러나 공격자가 VPN을 통해 기업 네트워크에 대한 전체 네트워크 수준의 접속 권한을 얻고 측면으로 이동할 수 있는 리스크는 여전히 많은 유명 사이버 공격과 데이터 유출의 중대한 근본 원인입니다.

이는 주요 보안 리스크 중 하나지만, 기업에 더욱 치명적일 수 있는 또 다른 리스크는 VPN 자체에서 보안 취약점이 발견되는 경우입니다.

예를 들어, 2024년 1월 Ivanti VPN에서 새로운 보안 취약점이 발견되자, Ivanti는 Ivanti Connect Secure(이전의 Pulse Connect Secure) 및 Policy Secure 소프트웨어에 대한 두 가지 CVE(Common Vulnerabilities and Exposure) 정보를 공개했습니다. Ivanti에 따르면 이러한 취약점을 함께 이용할 경우, "인증이 필요하지 않으며 공격자가 악성 요청을 작성하고 시스템에서 임의의 명령을 실행할 수 있습니다.” 

CVE-2023-46805 및 CVE-2024-21887 의 점수는 각각 높음과 심각입니다. 악성 공격자들은 다음을 시도하는 과정에서 이를 적극적으로 악용하고 있습니다.

• VPN 어플라이언스의 설정 데이터 획득

• 파일 수정 및 다운로드

• 역방향 터널 설정

• 궁극적으로 네트워크 내에 악성 디바이스를 등록해 중요 자산 및 데이터에 대한 무단 접속 권한 획득 

미국 CISA(Cybersecurity and Infrastructure Security Agency)는 이런 취약점이 중국 공격자들에 의해 여전히 활발히 악용되고 있기 때문에, 해당 Ivanti 디바이스를 보유한 모든 연방 기관은 2024년 2월 2일까지 네트워크에서 연결을 해제해야 한다는 지침을 발표했습니다 .

최초 보고 이후 Ivanti는 VPN 디바이스에서 몇 가지 추가적인 취약점을 확인했습니다.

1. 권한 상승 취약점(CVE-2024-21888)

2. SAML 구성요소의 서버 측 요청 위조(CVE-2024-21893).

이 문제는 Ivanti에만 발생하는 것이 아닙니다. 대부분의 VPN 공급업체가 CVE를 공개했으며, 이는 매우 자주 발생하는 일입니다.  이런 취약점의 해결을 위한 패치를 배포해야 하는 부담은 주로 고객의 보안 관리자에게 있습니다. 이미 과중한 업무에 시달리는 네트워크 보안팀에게 이는 상당히 부담스러울 수 있습니다.

보안 취약점에 대한 패치 는 보안 업계에서 끊임없이 일어나는 일입니다. 위협 공격자들이 새로 발표된 취약점을 잽싸게 이용하면 최신 보안 패치를 성실히 적용하는 고객도 허를 찔릴 수 있습니다. 공격자들은 새로운 CVE가 발표될 때마다 아주 민첩하게 대응합니다. 예를 들어 Shadowserver Foundation 에서 수집한 데이터에 따르면, CVE-2024-21893은 며칠 만에 공격자들의 표적이 된 것으로 나타났습니다. 또한 플랫폼 전반에서 CVE-2024-22024를 표적으로 삼는 상당한 스캔 활동 도 확인되었습니다.

위협에 앞서 대응하는 데는 어려움이 따를 때가 많고, 연이어 발표된 여러 취약점의 연쇄적인 효과로 인해, 패치를 적용하는 것 역시 매우 벅찬 일입니다. 

암묵적 신뢰(예: VPN을 사용하는 원격 사용자에게 접속 권한 부여)에 의존하는 VPN과 달리, ZTNA는 제로 트러스트의 핵심 원칙에 따라 암묵적 신뢰를 제거하고 명시적 신뢰로 대체합니다. 예를 들어 회사 노트북을 사용하는 원격 사용자에 대해 멀티팩터 인증 으로 인증하고, 보안 제품군이 작동하는 상태에서 접속 제어 정책에 따라 특정 애플리케이션이나 리소스에만 접속할 수 있는 권한을 부여할 수 있습니다. 

Akamai Enterprise Application Access는 세계에서 가장 분산된 클라우드 보안 플랫폼인 Akamai Connected Cloud에 배포된 기업용 ZTNA 솔루션입니다. 강력한 인증 및 맥락을 기반으로 프라이빗 애플리케이션에 대해 최소 권한의 세분화 접속 제어를 제공하고, 네트워크 수준의 접속을 제거합니다. 이를 통해 접속 관리를 간소화하고 기업의 공격표면을 줄이며 보안 체계를 개선합니다.

이러한 새로운 VPN 보안 취약점은 과중한 업무에 시달리는 보안 팀에게 우려를 안길 수 있으며, 많은 기업이 VPN 사용을 재평가하고 ZTNA 솔루션으로의 전환을 고려하거나 이미 진행 중이던 전환을 가속하는 결정적 시점이 될 수도 있습니다.

최근 발생한 VPN 취약점의 영향을 받은 한 대규모 Akamai 고객은 VPN 의존도를 낮추기 위해 ZTNA 배포 계획을 앞당겼습니다.

이 고객은 Ivanti의 긴급 해결 방법을 구축할 수 있었지만, 방어 조치 이후에도 일부 애플리케이션이 정상적으로 작동하지 않는 문제가 발생했습니다. 고객은 이미 비즈니스에 중요한 애플리케이션을 Enterprise Application Access로 전환하기 시작했지만 Ivanti 보안 취약점으로 인해 전환을 가속해야 했습니다. 전환을 가속화해 얻을 수 있는 한 가지 장점은, 신속한 확장으로 새로운 애플리케이션을 추가하거나 추가 사용자를 수용할 수 있다는 것입니다.

VPN 솔루션의 아키텍처에 내재된 한계 중 하나는 사용자가 네트워크에 직접 접속할 수 있도록 수신 연결을 허용하는 게이트웨이 어플라이언스에 대한 의존성입니다. Ivanti의 경우처럼 소프트웨어 취약점을 통해 VPN의 구조적 약점을 악용할 수 있는 경우, 공격자는 보안 경계 내부의 네트워크 리소스에 대한 레이어 3 접속 권한을 얻을 수 있습니다.

앞서 언급했듯이 다른 보안 조치가 마련되어 있을 가능성이 높기 때문에 VPN 집중 디바이스에서 유출이 발생하더라도 공격자가 모든 네트워크 리소스에 대한 전체 접속 권한을 즉시 얻지는 못할 수도 있습니다. 하지만 악성 공격자가 보안 경계 내부의 주요 네트워크 보안 구성요소에 접근할 경우, 네트워크 내에서 측면으로 이동할 수 있는 출발점을 확보하게 됩니다.

이는 엔드포인트의 사용자 연결이 클라우드에서 종료되고 사용자는 인증 및 권한이 부여된 특정 애플리케이션과 리소스에만 연결할 수 있는 Enterprise Application Access 솔루션보다 본질적으로 보안성이 떨어집니다. 

Enterprise Application Access은 네트워크에 대한 인바운드 사용자 연결을 허용하는 대신, Akamai Connected Cloud를 통해 들어오는 인증 및 권한이 부여된 사용자 연결과 ‘스티칭’되는 안전한 아웃바운드 다이얼아웃 연결을 설정합니다. 이렇게 하면 온프레미스나 클라우드 데이터센터의 공격표면이 본질적으로 줄어들고, 인바운드 접속 시도(양성 또는 악성)를 처리하기 위한 강력한 하드웨어나 가상 방화벽이 필요하지 않습니다.

전환을 서두른 Akamai 고객의 경우, 중요한 비즈니스 애플리케이션을 ZTNA 솔루션으로 전환하는 것이 합리적이면서도 유일한 보안 선택이 되었습니다. 그러나 기존의 취약한 솔루션에 대한 악용이 활발하게 발생하면서 계획적이고 효율적인 방식으로 전환을 수행할 수 있는 자유를 잃었습니다. 결국 고객이 제로 트러스트 여정을 계속 진행했을 때보다 훨씬 더 많은 리소스가 필요했습니다. 

전체 네트워크 접속을 제공하는 기존의 경계나 VPN은 네트워크 디바이스에 접속하고 랜섬웨어 같은 악성 소프트웨어를 측면으로 확산시키는 데 악용될 수 있습니다. Enterprise Application Access과 같은 ZTNA 솔루션은 애플리케이션 레이어에서 작동해 세션 단위로만 접속을 허용하고 건전한 제로 트러스트 보안 원칙을 준수함으로써 노출을 제한합니다.

심층 방어를 위한 보안 레이어를 추가하면, 악성 공격자가 경계를 침범할 경우 측면 이동에 대한 추가적인 보호 기능을 제공합니다. 가시성, 애플리케이션 의존성, 신속한 대응, 정책 시행 능력은 기업의 소중한 자산을 보호하는 데 있어 매우 중요한 역할을 합니다.

Akamai Guardicore Segmentation 을 레이어링하면 점점 더 고도화되는 위협 환경에서 빠르고 효과적으로 조치를 취해 측면 이동을 제거하고 멀웨어 및 랜섬웨어의 영향을 제한할 수 있습니다.

직원 계정의 탈취를 방지하기 위해 Akamai MFA 는 FIDO2 표준을 기반으로 가장 강력한 수준의 사용자 ID 및 인증을 제공합니다. 스마트폰 애플리케이션을 사용해 원활한 최종 사용자 경험을 제공하며, 물리적 보안 키의 비용과 복잡성을 제거합니다. Akamai MFA는 Enterprise Application Access와 원활하게 통합할 수 있습니다.

Akamai App & API Protector Akamai App & API Protector는 WAF(Web Application Firewall), 봇 방어, API 보안,DDoS(Distributed Denial-of-Service) 방어 등 다양한 보안 보호 기능을 하나로 통합한 단일 솔루션입니다. 앞서 설명한 VPN 보안 취약점의 영향을 받은 고객은 Akamai Connected Cloud의 강력한 기능을 활용해 이러한 보호 기능을 Enterprise Application Access 앞에 삽입함으로써 Ivanti가 공개한 추가적인 서버측 취약점을 방어하는 데 도움을 받고 있습니다.