[아이티데일리] VPN이 사이버공격의 온상이 되고 있다. 많은 기업에서는 코로나19 대유행으로 원격 근무 환경을 구축하기 위해 VPN을 도입했다. 그러나 VPN은 구조적 약점으로 인해 해커들이 내부 네트워크로 침투하는 경로로 악용됐다. 특히 과도한 권한 부여와 정적인 접근 제어 방식은 공격의 표적이 되기에 충분했다.

지능화된 사이버 위협에 대응하기 위해 ‘제로 트러스트 네트워크 액세스(Zero Trust Network Access; ZTNA)’가 떠올랐다. ZTNA는 모든 접속 시도를 검증하고 최소 권한만을 부여하는 방식으로 VPN보다 강화된 보안을 제공한다. VPN이 주된 공격 표적이 된 이유와 그 대안으로 떠오르고 있는 ZTNA에 대해 알아봤다.

인터넷을 사설망처럼 사용하는 ‘VPN’

VPN은 신뢰할 수 없는 네트워크에서 안전한 통신을 보장하는 솔루션이다. 인터넷과 같은 공중망(Public Network)을 마치 기업 내 전용 회선처럼 활용한다. 주로 원격 근무 환경이나 본사와 지사 간 통신 등에 사용된다.

VPN을 이해하려면 사설망(Private Network)에 대해 알아야 한다. 기업에서 주고받는 데이터는 대부분 업무에 관한 중요한 정보이기 때문에 보안이 중요하다. 이러한 이유로 기업들은 임대 회선을 마련해 내부에 사설망을 구축한다.

모든 직원이 같은 공간에서 근무할 경우 내부 네트워크만으로 충분하다. 하지만 때에 따라 원격지에서 업무를 처리해야 하는 상황도 발생한다. 여러 곳에 지사를 두고 있는 회사들은 직원 간 소통을 위한 별도의 통신 환경이 필요하다.

문제는 비용이다. 임대 회선은 비싸다. 가정에서 쓰는 인터넷에 비해 몇십 배에 달하는 비용을 부담해야 한다. 전국 곳곳에 있는 지사에 모두 임대 회선을 설치해야 한다면 그 비용이 만만치 않다.

지사가 아닌 집이나 카페 등 원격지에서 근무하는 직원을 위해 통신망을 마련하는 일 또한 현실적으로 불가능하다. 이러한 고민을 해소하고 적은 비용으로도 외부망에서 안전히 내부망으로 접속하는 환경을 마련하고자 VPN이 만들어졌다.

터널링·암호화로 안전한 연결 지원

VPN은 터널링(Tunneling)과 암호화에 토대를 두고 있다. 터널링은 쉽게 말해 두 네트워크를 마치 하나처럼 사용하도록 만드는 기술이다. 인터넷을 통해 특정 정보를 전송할 때 정보가 공개될 위험이 있다. 그래서 데이터를 안전히 전달하기 위해 가상의 터널을 만드는 것이다.

터널링과 암호화는 서로 연결된다. 터널로 데이터를 전달하기 전에 정보를 포장하는 ‘캡슐화’ 가 필요하다. 이 과정에서 데이터를 더욱 안전하게 보호하기 위해 ‘암호화’ 기술이 사용된다. VPN에 쓰이는 암호화 프로토콜로는 PPTP, L2TF, IPSec, SSL 등이 있다. 터널링과 암호화 개념을 바탕으로 VPN을 다시 설명하면, 신뢰할 수 없는 네트워크 환경에서 원격 장치나 서버가 ‘애플리케이션 트래픽을 암호화된 네트워크 터널’을 통해 안전하게 전송할 수 있도록 하는 기술이다.

VPN은 1996년경 마이크로소프트(MS) 구르딥 싱-팔(Gurdeep Singh-Pall) 엔지니어가 개발한 ‘P2P 터널링 프로토콜(PPTP)’에서 시작됐다. PPTP는 윈도우(Windows) NT 4.0 버전부터 내장돼 초기 VPN 솔루션에 쓰였다. 다만 시간이 흐르며 사용자 인증과 암호화 방식에서 심각한 취약점이 발견됨에 따라 현재는 거의 사용되지 않고 있다.

현재 주로 쓰이는 VPN 기술은 IPSec과 SSL이다. 이 둘은 동작하는 OSI(Open Systems Interconnection) 계층, 구축 형태 등 기술적 접근 방식이 다르다. 먼저 IPSec VPN은 게이트웨이(서버) 장비 2개를 연결함으로써 다른 네트워크를 이어주는 기술로, 흔히 회사의 각 지점 간 통신을 위해 쓰인다. 네트워크 계층(3계층)에서 동작하며 IP 패킷 자체를 암호화한다.

SSL VPN은 클라이언트와 서버 사이에 암호화 터널을 만들어 데이터를 주고받는 구조로 이뤄진다. 사용자는 PC나 스마트폰에서 웹브라우저를 통해 회사 내부에 설치된 VPN 게이트웨이에 접속한다. 표현 계층(6계층)에서 데이터를 암호화하며 장비 여러 대가 필요한 IPSec과 달리 장비 하나만으로도 구성할 수 있어 비용 부담이 상대적으로 낮다. 이런 이유로 SSL이 원격 근무 환경에서 사용되는 VPN은 SSL이 많다.

원격 접속 기술에 드리운 그림자

코로나19 대유행 시절, 감염을 막기 위해 원격 근무 환경에 필요한 시스템을 구축하는 기업이 크게 늘었다. 시스코가 지난 2020년 전 세계 기업 의사결정권자 3천여 명을 조사한 결과, 코로나19 유행 기간 직원 절반이 원격 근무 중인 기업이 62%로 나타났다. 코로나19 이전(19%) 대비 43%포인트(P) 증가한 수치였다.

해커들은 늘어난 원격 근무 환경을 공격 표적으로 삼았다. 그중에서도 VPN을 집중적으로 공략했다. VPN이 외부 위협에 취약했기 때문이다. VPN이 원격 근무 흐름을 타고 도입이 늘어났지만, 30여 년 전에 개발된 기술로 보안에 취약할 수밖에 없던 것이다. 개발 초기에는 안전했지만 2025년 현재 VPN을 신뢰하기에는 여러 한계가 있었다.

물론 업체들은 VPN을 보완하기 위해 여러 방법을 내놓았다. 일부 VPN은 초기 연결 시 다중 인증(MFA)을 강제 적용하거나, 동적 접근 제어가 가능하도록 호스트의 보안 상태 검사 기능을 제공한다. 하지만 VPN은 그 원리상 접근 권한, 자원(Resource) 관리 등 여러 요인에서 취약한 면이 있다.

첫째, 사용자에게 너무 많은 권한이 부여된다. 장치와 상관없이 인증에 따른 접속 권한이 거의 동일하다. 한 번 내부 네트워크에 들어오면 안에서 할 수 있는 일이 많다. 만약 공격자가 VPN을 부정한 방법으로 접근에 성공한다면 횡적 이동으로 시스템 전체를 침해하는 일이 가능하다.

둘째로 접근 제어 구조가 정적이다. VPN은 IP 주소나 호스트 이름을 기준으로 접속을 통제하며, 사용자는 부여된 주소를 웹브라우저에 입력해 사용한다. 만약 누군가 이 경로를 알아내기만 한다면 얼마든지 접근할 수 있다.

하지만 VPN은 그 구조상 접속을 동적으로 변경하기 어렵다. 양 끝단 장치는 연결을 위해 암호화 알고리즘, 인증 방식을 공유한다. 장치 간 연결 과정에서 이 상태를 계속 유지하므로 통신 규칙이나 접근 정책을 실시간으로 바꾸기 힘들다. 결국 VPN은 그 위치가 외부에 노출된 데다 터널은 계속 열려 있어 접속 제어가 어려우므로 위협에 취약할 수밖에 없다.

전 세계서 발생하는 VPN 취약점 악용

이러한 여러 이유로 VPN은 오랜 기간 주된 공격의 표적이었다. 해커는 취약점을 통해 내부 네트워크에 접근 후 횡적 이동으로 중요 인프라로 침입해 정보 탈취, 악성코드 배포 등을 자행한다. 백도어(Backdoor), 드로퍼(Dropper) 등 다양한 악성코드를 설치하고 공격을 지속하거나, 랜섬웨어로 데이터를 암호화해 금전을 요구하기도 한다.

탈취한 자격 증명을 이용한 공격도 가능하다. VPN에 접속된 후에 아이디와 비밀번호로 사용자 신원을 인증하는 방식이 일반적이다. 해커는 자격 증명만 확보하면 내부 네트워크를 자유롭게 드나들 수 있다. 피해를 최소화하고자 IP 주소와 포트 관리를 위한 정책을 설정할 수도 있지만 한계가 있다. 대부분 편의상 전체 서브넷으로 접속 권한을 할당하므로 사용자로 인식되면 사내에 있을 때처럼 여러 자원에 접속할 수 있다.

VPN을 악용한 공격은 전 세계에서 일어나고 있다. 최근에 위협을 겪은 솔루션은 ‘이반티 커넥트 시큐어(Ivanti Connect Secure)’ VPN이다. 이반티와 구글 클라우드 멘디언트는 지난 1월 제로데이 취약점 2개를 발표했다. 이 중 하나인 CVE-2025-0282는 인증되지 않은 원격 코드 실행으로 공격자가 시스템에 들어가 네트워크를 손상할 수 있었다. 지난 3월에는 미국 사이버보안 및 인프라 보안국(CISA)이 해당 취약점을 악용한 신종 악성코드 ‘리서지(RESURGE)’를 발견했다.

CVE-2025-0282로 인한 피해는 여러 곳에서 나타났다. 위협 모니터링 플랫폼 섀도우서버 파운데이션(Shadowserver Foundation)은 지난 1월 22일 기준 해당 취약점으로 백도어 인스턴스 379개가 발생했다고 밝혔다. 영국 국가 도메인(.uk)을 관리하는 노미넷(Nominet)에서는 1월 13일 CVE-2025-0282를 통해 해커가 내부 네트워크를 침해했다고 발표했다.

지니언스 전략마케팅실 이대효 상무는 “VPN은 공급망 공격에도 악용된다. 공격자는 보안이 상대적으로 약한 자회사 내 VPN을 뚫고 들어간 뒤에 연결된 통로를 이용해 본사까지 접근할 수 있다”며 “이처럼 고객, 협력사의 네트워크를 차례로 공략하는 공격을 ‘아일랜드 호핑(Island Hopping)’이라 부르는데, 코로나19 유행 기간 중 많이 일어났다”고 설명했다.