코로나19가 일으킨 디지털 전환 가속화와 근무환경 변화는 기업 보안 울타리를 확장하게 했다. 사내 서버와 네트워크를 보호하던 기존 보안 솔루션은 재택·원격근무로 인한 보안에 공백을 만들었고, 이에 따라 재택근무자에 대한 보안 문제가 대두됐다.
마크 건트립(Mark Guntrip) 멘로시큐리티 사이버보안 전략담당 이사는 "2020년 코로나19 확산으로 재택근무가 일상화되면서 기업은 외부에서도 생산성을 확보하는 데 주력했다. 하지만 2021년 코로나19가 장기화되면서 기업 CISO에게 생산성뿐만 아니라 보안을 강구한 형태로 원격근무를 운영하는 것이 주요 문제로 떠올랐다"고 말했다.
이어 "2022년에도 랜섬웨어가 사라지지 않고 늘어날 전망이며, 재택근무 환경 보편화로 어디서든 보안을 지원해야 한다. 보안인력 부족 역시 문제다. 사이버위협이 늘어나고, 재택근무가 확대되면서 기존에도 부족한 보안인력에 업무가 몰리면서 번아웃 현상도 나타나고 있다. 이밖에도 회사 임직원뿐만 아니라 파트너사, 고객사 등 서비스 공급망에 대한 보안 관리 역시 중요해질 전망"이라고 말했다.
랜섬웨어는 지난 2년간 꾸준히 증가하는 공격 유형 중 하나다. 멘로시큐리티에 따르면 랜섬웨어는 크게 네트워크 침입, 이동, 실행 등의 단계로 구분되며, 기업이 피해 사실을 확인할 수 있는 것은 실행 단계다. 이 단계에서 기업이 선택할 수 있는 전략은 백업본을 통한 복구다. 하지만 해커가 이동 단계에서 백업 이미지의 위치를 파악하고 이를 손상시킨다면 백업 역시 대응책이 될 수 없다. 때문에 모든 공격을 막을 수 있는 방법은 침투 단계에서 이를 탐지해 차단하는 것이다.
마크 건트립 이사는 "우리가 집중하는 것은 최초 침투를 막는 것이다. 최근 고도의 회피 기술을 적용한 적응형 위협 기술(HEAT)이 등장하면서 공격자는 탐지 솔루션을 우회한다. 지난해 약 50만개의 악성 URL 링크를 분석한 결과 해당 웹 사이트의 69%가 HEAT 전술을 사용한 것으로 나타났다"고 말했다.
멘로시큐리티는 자체 조사 결과 정상 웹 사이트를 가장한 가짜 웹 사이트가 2020년부터 2021년까지 전년 대비 137% 늘었다고 밝혔다. 해커가 피싱을 위해 사칭하는 상위 3개 사칭 브랜드는 마이크로소프트, 페이팔, 아마존 등으로 나타났다. 이러한 새로운 피싱 사이트는 1.7분마다 만들어지고 있었다. 또한 정상으로 위장한 웹 사이트를 통해 악성코드를 배포하는 사례도 지난 2년(2019~2021년) 동안 900% 이상 증가했다.
HEAT 전술의 주요 특징으로는 우선 콘텐츠 분석을 회피한다는 점이다. 웹 사이트를 열기 위해 사용자가 내려받는 정보를 여러 조각으로 나눠 제공하고, 이를 통해 기존 탐지 솔루션이 탐지할 수 없도록 한다.
또한, 악성 웹 사이트 링크를 유포할 때도 이메일뿐만 아니라 소셜 미디어, 문자 메시지, 전문 문서 등 같은 다양한 방식을 이용하는 추세다. 이 밖에도 안전한 사이트로 위장해 수개월간 운영하다 악성 사이트로 변경해 코드를 유포하는 등 치밀한 전략을 펼치고 있다.
문제는 이 같은 위협이 증가하고 있는 환경에서 재택근무에 대한 보안 강화가 어렵다는 점이다. 기업 내부에 있는 PC와 달리, 가정용 네트워크에 연결된 PC는 보안 담당자가 직접 보안 정책을 배포하거나 데이터를 관리하는 것이 불가능하다. 특히 보안인력 부족 문제는 늘어나는 접속 기기와 위협 이벤트에 대한 대응을 더 어렵게 한다.
멘로시큐리티는 이러한 보안 위협에 대해 제로 트러스트 모델을 기반으로 하는 대응 전략이 필요하다고 강조했다. 제로 트러스트란 네트워크에 접근하는 모든 사용자를 기본적으로 신뢰하지 않는 것을 전제로, 최소한의 권한만 부여해 활동할 수 있도록 하는 보안 방법론이다.
가상사설망(VPN)을 통한 원격근무는 VPN 계정이 유출될 경우 사이버공격에 시스템이 그대로 노출된다. 특히 원격근무자 증가는 VPN에 대한 트래픽을 가중시킨다.
멘로시큐리티 '멘로 클라우드 보안 플랫폼(Menlo Cloud Security Platform)'은 제로 트러스트를 기반으로 모든 인터넷 콘텐츠를 클라우드에서 격리·실행하는 방식으로 은밀한 위협에 대응할 수 있게 지원한다. 이메일, 웹 등에서 받은 각종 콘텐츠와 스크립트를 클라우드 환경에서 실행하고, 안전한 내용만 사용자에게 전달한다. 특히 별도의 설치 없이 클라우드를 통해 보안 기능을 제공하기 때문에 사용자는 이전과 동일한 사용 환경에서 보안을 강화할 수 있고, 파트너사와 고객사 등에도 동일한 보안 정책을 제공하는 것이 가능하다.
마크 건트립(Mark Guntrip) 멘로시큐리티 사이버보안 전략담당 이사는 "2020년 코로나19 확산으로 재택근무가 일상화되면서 기업은 외부에서도 생산성을 확보하는 데 주력했다. 하지만 2021년 코로나19가 장기화되면서 기업 CISO에게 생산성뿐만 아니라 보안을 강구한 형태로 원격근무를 운영하는 것이 주요 문제로 떠올랐다"고 말했다.
이어 "2022년에도 랜섬웨어가 사라지지 않고 늘어날 전망이며, 재택근무 환경 보편화로 어디서든 보안을 지원해야 한다. 보안인력 부족 역시 문제다. 사이버위협이 늘어나고, 재택근무가 확대되면서 기존에도 부족한 보안인력에 업무가 몰리면서 번아웃 현상도 나타나고 있다. 이밖에도 회사 임직원뿐만 아니라 파트너사, 고객사 등 서비스 공급망에 대한 보안 관리 역시 중요해질 전망"이라고 말했다.
랜섬웨어는 지난 2년간 꾸준히 증가하는 공격 유형 중 하나다. 멘로시큐리티에 따르면 랜섬웨어는 크게 네트워크 침입, 이동, 실행 등의 단계로 구분되며, 기업이 피해 사실을 확인할 수 있는 것은 실행 단계다. 이 단계에서 기업이 선택할 수 있는 전략은 백업본을 통한 복구다. 하지만 해커가 이동 단계에서 백업 이미지의 위치를 파악하고 이를 손상시킨다면 백업 역시 대응책이 될 수 없다. 때문에 모든 공격을 막을 수 있는 방법은 침투 단계에서 이를 탐지해 차단하는 것이다.
마크 건트립 이사는 "우리가 집중하는 것은 최초 침투를 막는 것이다. 최근 고도의 회피 기술을 적용한 적응형 위협 기술(HEAT)이 등장하면서 공격자는 탐지 솔루션을 우회한다. 지난해 약 50만개의 악성 URL 링크를 분석한 결과 해당 웹 사이트의 69%가 HEAT 전술을 사용한 것으로 나타났다"고 말했다.
멘로시큐리티는 자체 조사 결과 정상 웹 사이트를 가장한 가짜 웹 사이트가 2020년부터 2021년까지 전년 대비 137% 늘었다고 밝혔다. 해커가 피싱을 위해 사칭하는 상위 3개 사칭 브랜드는 마이크로소프트, 페이팔, 아마존 등으로 나타났다. 이러한 새로운 피싱 사이트는 1.7분마다 만들어지고 있었다. 또한 정상으로 위장한 웹 사이트를 통해 악성코드를 배포하는 사례도 지난 2년(2019~2021년) 동안 900% 이상 증가했다.
HEAT 전술의 주요 특징으로는 우선 콘텐츠 분석을 회피한다는 점이다. 웹 사이트를 열기 위해 사용자가 내려받는 정보를 여러 조각으로 나눠 제공하고, 이를 통해 기존 탐지 솔루션이 탐지할 수 없도록 한다.
또한, 악성 웹 사이트 링크를 유포할 때도 이메일뿐만 아니라 소셜 미디어, 문자 메시지, 전문 문서 등 같은 다양한 방식을 이용하는 추세다. 이 밖에도 안전한 사이트로 위장해 수개월간 운영하다 악성 사이트로 변경해 코드를 유포하는 등 치밀한 전략을 펼치고 있다.
문제는 이 같은 위협이 증가하고 있는 환경에서 재택근무에 대한 보안 강화가 어렵다는 점이다. 기업 내부에 있는 PC와 달리, 가정용 네트워크에 연결된 PC는 보안 담당자가 직접 보안 정책을 배포하거나 데이터를 관리하는 것이 불가능하다. 특히 보안인력 부족 문제는 늘어나는 접속 기기와 위협 이벤트에 대한 대응을 더 어렵게 한다.
멘로시큐리티는 이러한 보안 위협에 대해 제로 트러스트 모델을 기반으로 하는 대응 전략이 필요하다고 강조했다. 제로 트러스트란 네트워크에 접근하는 모든 사용자를 기본적으로 신뢰하지 않는 것을 전제로, 최소한의 권한만 부여해 활동할 수 있도록 하는 보안 방법론이다.
가상사설망(VPN)을 통한 원격근무는 VPN 계정이 유출될 경우 사이버공격에 시스템이 그대로 노출된다. 특히 원격근무자 증가는 VPN에 대한 트래픽을 가중시킨다.
멘로시큐리티 '멘로 클라우드 보안 플랫폼(Menlo Cloud Security Platform)'은 제로 트러스트를 기반으로 모든 인터넷 콘텐츠를 클라우드에서 격리·실행하는 방식으로 은밀한 위협에 대응할 수 있게 지원한다. 이메일, 웹 등에서 받은 각종 콘텐츠와 스크립트를 클라우드 환경에서 실행하고, 안전한 내용만 사용자에게 전달한다. 특히 별도의 설치 없이 클라우드를 통해 보안 기능을 제공하기 때문에 사용자는 이전과 동일한 사용 환경에서 보안을 강화할 수 있고, 파트너사와 고객사 등에도 동일한 보안 정책을 제공하는 것이 가능하다.
김성래 멘로시큐리티 코리아 지사장은 "보안 위협이 더욱 정교해지고, 새로운 위협의 지속적인 등장하고 있어 IT 관리자들은 랜섬웨어, 멀웨어, 피싱을 비롯한 지능형 위협을 빠르게 식별하여 완벽하게 대응할 수 있는 클라우드 기반 보안 플랫폼 도입에 나서고 있다"며 "멘로시큐리티 격리 기술을 활용하면 모든 인터넷 콘텐츠와 웹사이트에 대해 제로 트러스트 환경 구축이 가능하다"고 강조했다.