[박나룡 보안칼럼] VPN, 설치만 했다고 보안 수준을 높여주진 않는다

방치된 VPN은 오히려 공격자의 통로가 된다.

VPN은 설치만으로 보안이 완성되지 않으며, 철저한 관리가 필수다.

접점에 대한 충분한 관리는 아무리 강조해도 지나치지 않다.

접점에 대한 관리는 항상 중요하게 관리되어야 할 정보보호 영역이다.

네트워크 구성에서 기본은 외부의 다양한 공격 시도를 무력화하고, 가용성을 확보하는 일일 것이다.

DDoS 공격을 막기 위해 관련 솔루션을 도입하고, 외부에 오픈된 서비스를 보호하기 위해 웹 방화벽과 같은 L7 보안 시스템들이 설치된다.

특히, 아무나 접근할 수 없는 내부 시스템을 외부와 분리하고 사설 IP로 설정하여 외부에서 원천적인 차단을 기본으로 구성하게 된다.

하지만, 내부 직원들은 물리적 공간을 넘어 필요에 따라 언제 어디서든 시스템(ERP, 파일서버, 그룹웨어 등)과 내부 네트워크에 접속해야 하는 유연성을 요구하고 있다. 이 과정에서 가장 중요한 것은 바로 ‘안전한 연결’이고, VPN은 단순한 연결 수단이 아닌, 전송과 접근 통제를 동시에 구현해야 하는 핵심 기능을 담당하고 있다.

VPN은 외부 사용자가 내부 네트워크에 직접 접속할 수 있도록 하므로, VPN 사용자에게 부여된 계정과 권한은 곧 내부 자원에 대한 접근 권한과 직결될 수 있다.

최근 사회적으로 파장이 큰 보안 사고의 직접적인 침투 경로로 지목되고 있는 것은 아이러니하게도 보안을 위해 도입된 장비인 VPN이다.

SK텔레콤 해킹 사건에서는 내부 서버에 BPFdoor라는 리눅스 기반 백도어 악성코드가 사용되었고, 그 침투 경로로 VPN 장비의 취약점이 지목되었고, SGI서울보증의 랜섬웨어 감염 최초 침투 경로도 SSL-VPN 장비에 무차별 대입(Brute-force) 공격을 통한 내부 침투로 추정하고 있다.

보안 강화를 위한 도구일지라도, 관리가 소홀하면 오히려 공격자에게 취약한 진입점이 될 수 있다는 점을 인식하고, 안전한 VPN 관리를 위한 몇 가지 부분들을 이야기하고자 한다.

1. VPN 관리자, 사용자 인증방식

VPN의 첫 번째 관문은 ‘인증’이다.

단순한 ID/PW 방식은 더 이상 안전하지 않지만, 현장에서는 아직도 VPN에 ID/PW 방식으로 로그인하는 곳이 많다.

다중 인증(MFA, Multi-Factor Authentication) 또는 디지털 인증서 기반 인증을 도입하여 인증방식을 강화해야 하고, 특히 관리자는 OTP나 하드웨어 토큰을 병행 사용하는 것이 필요하다.

외부인력에 대한 VPN 계정은 원칙적으로 없어야겠지만, 필요하다면 사용 시점과 기간을 통제하고 인력의 변동을 쉽게 알 수 있는 절차를 마련하는 것이 중요하다.

2. 패치 관리

모든 시스템은 패치가 필요하다.

시간이 지나면서 발견되는 문제점이 있을 수 있고, 이는 공격에 이용될 가능성이 높아진다.

패치를 위해 필요한 가장 기본적인 접근은 패치 정보를 빨리 확보할 수 있는 방법을 마련하는 것이다. 취약점 관련 사이트나 벤더를 통한 정보 수집 등을 최대한 활용하여 최신 패치 여부를 알 수 있어야 한다.

또한, VPN 장비의 업데이트 기능을 통해 수행하거나, 주기적인 점검 시 패치 발표 여부를 확인하고 적용을 검토할 수 있는 절차를 마련해야 한다.

3. 스필릿 터널링, 풀 터널링

스필릿 터널링(Split Tunneling)은 VPN 환경에서 필요한 트래픽만 VPN을 통해 암호화하여 전송하고, 나머지 트래픽은 인터넷에 직접 접속하도록 분리하는 방식이다.

이는, 사용자의 네트워크 속도 저하를 최소화하고, VPN 서버의 부하를 줄일 수 있으며 로컬 네트워크와 인터넷을 동시에 활용할 수 있다는 장점도 제공하지만, 접속자 PC의 안전성을 확보하지 못할 경우 악성코드 감염 시 내부망에 대한 위험성을 증가시키는 부작용이 있을 수 있다.

풀 터널링(Full Tunneling)은 사용자의 모든 트래픽을 VPN 서버를 통해 전달하는 방식으로 장비에 대한 부하가 증가할 수 있지만, 보안 관리 관점에서 모든 트래픽에 암호화 통신을 적용하고, 외부 인터넷으로부터 위협을 최소화할 수 있다.

요즘 조직의 VPN 설정은 대부분 풀 터널링으로 적용하는 추세이고, 외부 인터넷을 통해 접근해야만 하는 SaaS 서비스 연결 등의 경우에는 VDI 환경을 제공하는 방식으로 진화하고 있다.

4. 관리자 계정과 로그 검토

VPN 관리자 계정은 공격자의 최우선 목표일 수 있다.

관리자 계정은 IP를 지정하는 방식으로 통제하고, MFA 인증이 기본으로 적용되어야 한다.

또한, 최소 권한 원칙에 따라 부여하고, 로그인 시도는 실시간으로 크로스체크할 수 있는 방안을 마련해야 한다.

또한, 보안 사고의 실마리는 로그에 있다는 관점에서 VPN 사용 기록, 로그인 시도, 인증 실패 내역 등 모든 활동은 로그로 남겨야 하고, 이 로그는 주기적으로 검토되어야 한다.

자동화된 이상 징후 탐지 시스템과 연계하면 더욱 효과적이며, 오탐을 최소화할 수 있도록 최적화하고 실시간 관점으로 확인할 수 있도록 구성하는 것이 필요하다.

5. 접근 가능 대역 설정

VPN은 내부 네트워크에 대한 접근 권한을 제공할 수 있기에, 반드시 IP 접근 제어(ACL)나 접근 가능 구역으로 구분하여 제한해야 한다.

사내 인프라 중 VPN을 통해 접근이 가능한 대역을 그룹웨어나 임직원용 사내 시스템에 대한 접근과 내부 개발 대역, 운영 서버 대역 등으로 구분하고 필요한 권한에 따라 VPN 계정과 IP를 매핑하는 방식으로 통제해야 한다는 의미다.

물론, VPN 접근 후 Gateway 서버나 VDI를 통해 통제하는 방식도 존재하지만, 원칙은 필요한 사용자에게 필요한 시스템만 접근하도록 통제하라는 것이다.

6. 엔드포인트 보안 상태 검사

엔드포인트 보안 상태 검사(Device Posture Check)은 VPN에 연결하려는 사용자의 단말기 상태를 점검하여, 보안 요건을 충족하지 않으면 접속을 제한하는 기능이다.

조직의 통제하에 있는 환경에서 VPN에 접속하는 디바이스는 내부 기준에 따른 보안이 적용된 비교적 신뢰할 수 있는 상태로 내부 시스템에 접근하는 것으로 볼 수 있지만, 개인용 노트북 등에서 VPN에 접근하는 경우에는 해당 디바이스의 보안 상태를 알 수 없기에 그 디바이스의 보안 취약점으로 인해 내부 네트워크까지 부정적 영향을 미칠 수 있는 상황에 대비해야 한다.

최근에는 VPN에서 디바이스에 대한 체크 기능을 제공하는 경우가 많아, OS 패치 적용 여부, 백신 설치 상태, 조직의 필수 보안 프로그램 설치 여부 등이 확인되어야 VPN에 접속이 가능하도록 설정하는 사례가 많아지고 있다.

이는 단순한 사용자 인증을 넘어, ‘신뢰할 수 있는 기기’만 내부망에 접속할 수 있도록 하는, 제로 트러스트(Zero Trust) 보안 모델을 실현할 수 있다.

다시 한번 강조하지만, 외부에서 네트워크를 통한 공격은 접점에 대한 관리가 중요하다.

정보보호를 강화하기 위해 설치된 장비나 소프트웨어가 역으로 공격에 이용되지 않으려면 충분한 관리가 필요하다.