가정 네트워크와 스마트 기기 충격파··· ‘기업 위협 모델’은 변화 중

많은 기업들이 코로나19 관련 사회적 거리두기 의무 때문에 재택근무 정책을 시행해야 했다. 직원 가정 네트워크와 여기에 연결된 장치의 보안이 중요한 고려사항이 되고 있다.

미국 조직 4곳 중 약 1곳은 현재 팬데믹 이후에 현장 직원 중 최소 20%를 영구적인 재택 위치로 이동할 계획이다. 316명의 CFO 및 재무 리더를 대상으로 실시한 새로운 가트너 설문조사에 따르면, 또 75%가 비용 절감 조치의 일환으로 인력의 약 5%에 대해 같은 방식을 적용할 계획이다. 많은 기업들이 구내 기술 지출을 연기했으며 대신에 재택근무 직원들에게 기업 소유의 장비를 제공하고 있다.

이런 트렌드로 인해 조직들이 가정용 네트워크와 여기에 연결된 스마트홈 제품 및 기타 장치의 보안에 더 큰 관심을 가져야 한다고 전문가들은 말한다. 가정용 라우터, 프린터, 보안 시스템, DVR, 게이밍 콘솔, 기타 스마트 장치가 기업 네트워크의 위협 모델을 크게 바꿀 수 있는 이유는 다음과 같다.
 

맬웨어 감염 증가
최근 비트사이트(BitSight)의 조사에 따르면 가정 네트워크는 사무실 네트워크보다 5가지 이상의 맬웨어가 있을 확률이 5배나 높은 것으로 나타났다. 스마트홈 제품, PC, 프린터, 카메라, 가정 네트워크의 기타 장치 중 25%가 인터넷을 통해 직접 액세스할 수 있었고, 기업 중 45%는 맬웨어가 있는 장치가 가정 네트워크로부터 자사의 네트워크에 액세스하고 있었다.

많은 재택근무자들이 여전히 업무에 자신의 컴퓨터를 사용하고 있기 때문에 이 문제가 더욱 악화된다. 최근 모피섹(Morphisec)의 설문조사에 따르면 직원 중 49%가 여전히 재택근무 중 개인용 노트북을 사용하는 것으로 나타났다. 이 수치는 2020년의 개인용 노트북을 사용하는 57%에서 조금 떨어진 수치이다. 

액세스가 손쉬운 관리 인터페이스
451 그룹(451 Group)의 애널리스트 다니엘 케네디는 “가정 네트워크는 기본적으로 기업 네트워크와 다르다. 기업 네트워크에도 위험이 있을 수 있지만 가정 네트워크가 더 취약하다”라고 말했다. 그는 기본 또는 약한 비밀번호 때문에 관리 인터페이스 액세스가 손쉬운 가정용 라우터 및 IoT 장치를 지적했다. 그는 “라우터는 일반적으로 기업 방화벽에서 허용되지 [않은] 서비스를 의도적으로 또는 의도와 상관없이 노출시킬 가능성이 높다”라고 말했다.

취약한 와이파이 보호
마찬가지로, 가정용 Wi-Fi 네트워크는 네트워크의 다른 사용자에 의한 위험한 행동으로 인해 기업 네트워크만큼 효과적으로 보호되지 않을 수 있다. 케네디는 “대부분의 사무실 동료들은 일과 후 다운로드한 게임을 플레이할 가능성이 낮지만 직원들의 아이들은 다르다”라고 지적했다. 

아직 이론적인 위험에 가깝긴 하지만 가정 네트워크에 있는 알렉사(Alexa)와 구글 홈(Google Home) 등의 가상 비서로 인한 일반적인 프라이버시 또는 기밀 우려도 존재한다. 이런 장치는 직원이 재택근무 중 참여할 수 있는 대화와 비즈니스 의사소통을 의도하지 않게 엿들을 수 있다고 케네디가 말했다.

규모와 공격 표면 확대
모든 위험이 완전히 새로운 것은 아니다. 재택근무자를 지원하고 있는 조직들은 수 년 동안 이런 문제를 해결해야 했다. 하지만 규모가 달라졌다. 케네디는 “상당수의 기업들이 재택근무가 영구적으로 크게 증가할 것으로 전망하고 있다”라며, “상당수의 직원들이 회사 소유의 네트워크 캠퍼스에서 기업 서비스에 액세스하지 않는 경우 어떻게 될까?”라고 말했다.

케네디와 다른 보안 전문가들은 가정 네트워크와 스마트홈 장치로 인한 기업 보안의 위험을 완화하는 4가지 요령을 제시했다.

1. 아무것도 믿지 말라, 모든 것을 확인하라
가정 네트워크와 장치는 기업 환경보다 취약할 수밖에 없기 때문에 일단 의심해야 한다. 기업 시스템과 데이터에 대한 가정 네트워크의 모든 액세스 요청을 매번 검증하도록 컨트롤을 구현한다.

IT하비스트(IT-Harvest)의 수석 애널리스트 리차드 스티논은 “여기에서 신뢰 모델을 재평가해야 한다”라고 말했다. 한 때 신중하게 격리되었던 기업 네트워크에 이제는 각 직원의 가정 네트워크에 있는 모든 것이 포함되어 있다. 그는 “가정 보안 카메라, 스마트 조명 스위치, 스마트 TV, 10대들이 가진 태블릿의 취약성이 이제는 기업 IT의 범위에 포함되어 있다”라고 지적했다.

액세스 결정은 누군가 적절한 자격 증명이 있는지 여부 외에도 다른 요소에 따라 내려져야 한다. 장치와 사용자는 액세스 요청을 할 때마다 보안 검증을 거쳐야 한다. 액세스가 부여되면 최소 권한 그리고 사용자가 정당하게 업무에 필요한 시스템과 데이터를 기준으로 해야 한다.
그들의 활동을 지속적으로 모니터링하고 그들의 활동에 대한 네트워크 반응이 동적이어야 한다고 스티논이 말했다. 그는 “이것이 제로 트러스트(Zero-trust)이다. 재무 부사장의 스마트 냉장고 때문에 유출이 발생하기를 바라는가?”라고 지적했다.

조직은 가능하면 MFA를 배치해야 한다고 IDC의 애널리스트 피트 린드스트롬이 말했다. MFA는 만병통치약은 아니지만 재택근무와 관련된 많은 위험을 감소시킬 수 있다. 일반적으로 네트워크의 보안 컨트롤을 확장하는 데 집중하고 애플리케이션, 데이터, 사용자에 더 가까워야 한다고 린드스트롬이 말했다.

2. 보안 공백을 확인하라
재택근무 직원을 지원할 때의 보안 정책은 대규모 컴퓨팅을 지원하는 것과 꽤 달라야 한다. 네트워크 연결이 직원의 가정으로 확대되는 IT환경에서는 기업 서버, 애플리케이션 리소스, 데이터가 새로운 취약성과 위험에 노출될 수 있다고 린드스트롬이 말했다.

이런 위험을 해결하기 위해서는 우선 어떤 질문을 해야 하는지 알아야 한다. 유니시스(Unisys)의 CISO 매트 뉴필드는 “우선, 기업 시스템에 감염을 최소화하기 위한 모든 적절한 보안 도구가 있는가? 집으로 보낸 기업 시스템이 회사의 네트워크와 직원 가정 네트워크 사이의 교량으로써 활동하지 않도록 하기위해 원격 액세스가 적절히 구성 및 모니터링되고 있는가?”라고 말했다.

이 영역에서 개선할 여력이 있어 보인다. 모피섹의 조사에 따르면 기업 VPN을 통해 연결된 재택근무 직원들이 사용하는 컴퓨터 중 52% 및 연결의 41%만이 방화벽을 통과한 것으로 나타났다. 

재택근무를 하는 사람들이 가정 네트워크가 업무와 네트워크와 마찬가지로 보안 조치를 준수하도록 하기 위한 적절한 도구와 교육을 받았는지 파악한다.  문제가 발생하는 경우 해야 할 일을 알 수 있도록 필요한 지침이 있는가? 원격 액세스 환경을 통해 문제를 신속하게 감지할 수 있도록 적절한 모니터링이 마련되어 있는지 파악해야 한다고 뉴필드가 말했다.

가시성은 또 다른 문제이다. 네트워크 엣지에서 작용하는 특정 네트워크 기반 보안 컨트롤은 가정 네트워크에서 직원 활동에 대한 원격 측정을 전체적으로 포착하거나 이에 대한 조치를 취할 수 없다. 케네디는 “이런 원격 측정이 이루어지는 방식과 엔드포인트, 클라우드, 기타 상호 접속 위치 등 보안 컨트롤이 이동하는 곳이 문제가 되고 있다”라고 말했다.

3. 직원 엔드포인트를 보호하라
가정 네트워크로부터 기업에 액세스하기 위해 사용되고 있는 장치를 취약한 스마트홈 제품 및 네트워크에 연결된 기타 장치의 잠재적인 보안 위협을 방지해야 한다. 엔드포인트 위협 감지와 대응 컨트롤이 적절히 구성되어 있고 VPN 연결이 강력한지 확인해야 한다고 린드스트롬이 말했다.

유니시스의 뉴필드는 “우리가 본 많은 가정 시스템이 적절히 패치 되어 있지 않아 익스플로잇 공격에 취약하다”라고 말했다. 예를 들어, 많은 가정용 비디오 게임 시스템은 환경을 능동적으로 스캔하여 공격할 취약한 호스트를 찾을 수 있는 익스플로잇 공격이 있다. 이런 종류의 위협에 대비하여 장치를 강화하지 못하는 조직은 피해자가 될 위험이 있다. 

뉴필드는 “기업들이 직원들과 함께 가정에 배치하고 있는 장치에 배치하는 도구와 기법은 해당 직원의 가정 네트워크를 통한 기업 사이버 보안 사건의 발생 가능성에 직접 영향을 미칠 것이다”라고 말했다.

또한 집에서 네트워크에 액세스하는 개인이 소유한 관리되지 않는 장치에 적절한 보안 보호조치가 있는지도 확인해야 한다. 예를 들어, 가정 PC를 사용하고 있는 재택근무 직원들에게 가정 PC에 새로운 사용자 비 시스템 관리 계정을 추가하는 방법을 설명하라고 SANS 인스티튜트의 신규 보안 트랜드 책임자 존 페스케이터가 말했다.

페스케이터는 “최소한 랜섬웨어 영향에 대한 보호 조치를 위해 파일이 통합될 것이며 브라우저 히스토리가 별도로 보관되고 권한이 제한될 것이다”라고 말했다. 가정 네트워크 취약성에 대한 예방조치로써 모든 재택근무 직원들에게 클라우드 기반 백업을 제공해야 한다고 그가 지적했다. 페스케이터는 “최소한 윈도우, 브라우저, 어도비(Adobe), 줌(Zoom) 등 가정 PC의 모든 것에 대한 자동 업데이트를 켜두도록 해야 한다”라고 조언했다.

4. 직원을 교육하라
재택근무 직원들은 기업 환경에 로그인하기 위해 사용하고 있는 네트워크에 취약한 스마트 제품과 기타 버그가 있는 장치가 있을 수 있는 위험을 모르는 경우가 많다. 뉴필드는 “패치가 제공될 때 알려주도록 기기를 설정할 수 있지만 그렇게 하지 않은 경우 개인용 컴퓨터를 패치해야 한다”라고 권고했다.

이어 그는 “가정 IoT 장치를 주기적으로 검증 및 패치하고 있는가? 인터넷 라우터에 로그인하여 가능한 많이 패치 및 강화했는지 검증했는가?”라고 반문하며, 재택근무 사용자는 가정 네트워크가 조직에 미치는 위험 증가를 인지하고 이를 완화하는 방법에 대한 교육을 받아야 한다고 말했다.

페스케이터는 “가정 사용자를 표적으로 삼는 피싱 공격 증가를 중심으로 집중적인 인식 및 교육을 제공하라. 과거에는 사무실에서 동료에게 일부 이메일이 요청하는 조치를 확인하라고 소리쳤다면, 이제는 그 사람에게 전화를 걸자”라고 말했다. ciokr@idg.co.kr