[아이티데일리] 랜섬웨어 조직들이 가상사설망(VPN)을 표적으로 공격을 벌이며 보안에 비상이 걸렸다. 우리나라에선 최근 SGI서울보증이 SSL VPN을 통해 랜섬웨어에 감염됐으며, 해외에서는 소닉월(SonicWall)의 방화벽에 탑재된 VPN 기능이 랜섬웨어 공격에 악용되는 경우가 많이 나타났다.

이처럼 전 세계적으로 VPN을 공격하는 사례가 빈번히 발생하고 있다.

VPN은 서로 다른 네트워크를 암호화된 터널로 연결해 원격 근무 환경에서 안전한 통신을 제공하는 솔루션이다. 그러나 내부망을 연결하는 통로라는 점에서 공격의 주요 진입로로 악용되기도 한다. 공격자들은 보안 취약점을 악용해 VPN에 접속한 뒤 정보 탈취, 악성코드 배포를 자행하고 있다.

아주대학교 박춘식 사이버보안학과 교수는 “VPN은 성곽에 외부와 연결된 문을 열어두는 일”이라며 “공격자는 노출된 이 지점을 공략해 내부망에 침투하려고 시도한다. 한 번 공격에 성공하면 횡적 이동으로 시스템 전체에 피해를 줄 수 있다”고 설명했다.

실제 국내 반도체 부품 제조기업 해성디에스는 지난 2023년 SSL VPN의 보안 취약점 패치를 미루다 랜섬웨어 감염돼 주주 정보 등 7만여 명의 개인정보가 유출됐다. 회사는 제조사에서 취약점 패치를 공지했음에도 이를 이행하지 않아 문제를 키웠다.

해외에서는 소닉월의 7세대 차세대 방화벽에 탑재된 SSL VPN 기능이 랜섬웨어 공격에 악용되는 사례가 급증했다. 조사 결과 지난해 발견된 취약점인 ‘CVE-2024-40766’이 원인으로 밝혀졌다. 회사는 무차별 대입 공격에 대한 보호가 강화된 버전으로 업데이트하고, 사용하지 않는 계정은 제거할 것을 권고했다.

VPN 업체들은 잇따른 보안 사고에 솔루션 고도화와 기술 지원으로 대응하고 있다. 전문 침해사고대응팀을 통해 취약점 점검과 모니터링을 강화하고, 협력사를 대상으로 정기 보안 교육을 제공하는 등 사고 발생 예방을 위한 노력을 지속하고 있다.

VPN 대안으로 ‘제로 트러스트 네트워크 액세스(Zero-Trust Network Access, ZTNA)’를 제안하는 곳도 늘고 있다. ZTNA는 ‘제로 트러스트’ 원칙을 네트워크 보안에 적용한 프레임워크다. 인증이 이뤄지기 전까지 접속 지점이 외부에 노출되지 않아 공격자가 침투하기 어렵고, 접근 권한 최소화로 악성코드 감염 발생 시에도 피해를 줄일 수 있다.

프라이빗테크놀로지는 ‘패킷고(PacketGo) ZTNA’를 서비스하고 있다. 패킷고 ZTNA는 사용자 신원, 위치, 기기 등 인증 정보를 수집해 이를 ‘데이터 플로(Data Flow) ID’로 만들어 허용되지 않는 접속을 차단한다.

드림시큐리티는 ‘매직(Magic) ZTNA’를 제공 중이다. 매직 ZTNA는 사용자 접근에 대한 선인증을 지원하는 ‘매직 SDP’와 접근 요청에 인가·차단을 수행하는 통합인증 게이트웨이로 구성된다. 서비스 접속이 가능한 응용 프로그램 및 장치를 지정하는 기능으로 신뢰할 수 없는 접근을 제한할 수 있다.

엠엘소프트는 ‘티게이트 SDP(Tgate SDP)’로 ZTNA를 구현한다. 소프트웨어 정의 경계(Software-Defined Perimeter)로 만들어진 이 솔루션은 서버 네트워크 정보가 외부에 노출되지 않도록 숨긴다. 또 사용자 PC의 감염 상태를 검증해 무결성에 문제가 없을 시에만 내부망 접근을 허용한다.

박춘식 교수는 “VPN에 보안 기능을 강화한 차세대 제품을 내놓는 등 노력이 이어지고 있다. 하지만 사용자 권한 관리, 접근 제어 등 여러 측면에서 근본적 해결책이 될 수 없다”며 “ZTNA 같은 향상된 네트워크 보안 구조로 점차 바꿔나갈 필요가 있다”고 조언했다.