원격 협업을 가능하게 해준다는 것 때문에 생기는 태생적 리스크를 기억해야
[보안뉴스 문가용 기자] 코로나 바이러스 사태로 화상 회의 플랫폼에 대한 수요가 높아지고 있다. 줌(Zoom)이 그 기회를 잡아 급성장 하는가 싶더니 각종 보안 우려 사항들이 등장하면서 빠르게 미끄러져 내려갔다. 이에 사용자들은 줌의 대체품들을 찾아 나서기 시작했다. 슬랙(Slack), 트렐로(Trello), 웹엑스(WebEx), 마이크로소프트 팀즈(Microsoft Teams)가 후보로 떠오르는 중이다.
[이미지 = iclickart]
하지만 그 어떤 소프트웨어들도 완벽하지는 않다. 게다가 원격 협업을 가능하게 하는 플랫폼들은 공격자들의 꾸준한 관심 대상이기도 하다. 요즘 줌이 도마 위에 오르긴 했지만, 지난 3월 슬랙에서도 취약점이 발견된 바 있다. 자동 계정 탈취를 가능케 해주는 취약점으로 대형 데이터 유출로 이어질 수 있다고 분석됐다. 뿐만 아니라 실제 계정 탈취 시도가 매일 꾸준하게 발견되기도 했었다.
시스코의 웹엑스는 어떨까? 여기서도 마찬가지로 최근 취약점이 발견돼 지난 3월 패치된 바 있다. 두 개의 고위험군 취약점이 다뤄졌는데, 익스플로잇 될 경우 공격자가 임의의 코드를 실행할 수 있게 해주는 것들이었다. 그보다 좀 전에는 비밀번호로 보호되어 있는 비밀 웹엑스 회의 세션에 아무나 들어가게 해주는 버그가 패치되기도 했었다.
취약점 익스플로잇 외에도 공격 전략은 다양하게 존재한다. 슬랙과 마이크로소프트 팀즈, 그 외 다른 메신저 앱들에는 피싱에 악용될 요소들이 존재한다. 이메일처럼 링크와 첨부파일을 전달할 수 있다는 것만으로도 이런 공격에 당할 가능성이 생긴다. 이는 협업과 원격 통신을 원활하게 한다는 앱들의 태생과 관련이 있는 거라 근본적으로 틀어막기가 힘들다.
잘못된 설정을 통해 침투하는 전략에도 화상 회의 앱들은 취약하다. 예를 들어 트렐로의 경우 설정을 ‘전체 공개’로 해놓을 경우 팀원들끼리 공유한 각종 할 일 목록이 구글 검색에 노출된다. ‘전체 공개’에 포함되는 모든 내용물들 역시 개별 검색이 가능하게 된다. 실제 트렐로 설정 오류로 전 사원 개인정보가 새나간 사례도 존재한다. 환경 설정은 실제 업무 환경에서 대단히 많이 발생한다. 클라우드가 점점 퍼지면서 수억 건의 데이터가 순수한 설정 오류를 통해 유출된 것이 이를 방증한다.
‘생태계 취약점’이라는 것도 존재한다. 예를 들어 슬랙의 경우 애드온 형식으로 소프트웨어 라이브러리를 사용자들에게 제공하는데, 클릭 한 번이면 설치가 될 정도로 간단하다. 공격자가 슬랙용 애드온을 가짜로 개발하거나 인기 높은 애드온을 감염시켜 배포할 경우, 사용자들은 매우 간단한 동작 한 번으로 공격자의 손아귀에 들어갈 수 있게 된다. 실제 이러한 공격 시나리오를 통해 모든 슬랙 채널이 공격자에게 넘어간 사례가 있을 정도다.
사이버 공격자들은 ‘화상 회의’나 ‘원격 협업’을 가능하게 하는 모든 앱들에 대해, 이런 입체적인 접근을 시도하고 있다. 코로나 사태를 맞이해서 갑작스럽게 그러는 게 아니라, 예전부터 그래왔다. 왜? 조직들의 회의 속에 생생하고 중요한 정보들이 숨겨져 있기 때문이다. 회의 참석자들 사이에서 오가는 내용이나 파일만이 아니라 각종 개인정보 및 민감 정보들까지 포함된다.
결국 보안이 해결하지 못하는 건 위험한 행동들
원격 협업 툴은 아무리 유명하고 많이 사용된다고 하더라도 태생적 리스크를 포함할 수밖에 없다. 사용자나 기업 입장에서는 자신이 사용하는 앱에서 발견된 취약점이나 프라이버시 침해 소식 하나하나에 일희일비 할 것이 아니라 이 ‘태생적 위험’을 기억하는 게 가장 중요하다. 그래야 안전한 방식으로 사용하는 데에 조금이라도 더 신경을 쓸 수 있기 때문이다.
사용자 기업이 적당한 협업 도구를 알아보기 전에 마련해야 할 것은 아이덴티티 보안 및 관리 솔루션이다. 협업 툴을 통해 공격자들이 크리덴셜을 훔쳐갈 경우, 정상적인 로그인 행위를 통해 회사 네트워크에 접근하는 게 가능하기 때문이다. 이러한 공격 시나리오가 가지는 리스크를 고려하는 게 우선시 되어야 한다.
제로 트러스트와 망분리 개념을 다시 한 번 확고히 다지는 것도 필요하다. 원격 근무자가 늘어나는 상황에서 회사를 향해 들어오는 트래픽이나 각종 요청을 모두 의심하고 점검하는 건 당연한 일인데, 잘 되지 않는다. 집으로 간 사용자들이 어떤 상황에서, 어떤 기기를 가지고, 어떤 요청을 주로 보내는지 파악해 비정상적인 행동 패턴을 파악하는 것이 좋다.
사용자 교육도 중요하다. ‘협업 도구는 태생적으로 위험하다’는 걸 주입시켜 불필요하게 많은 정보를 공유하지 않도록 하는 것이 우선이다. 현재 공격자들이 협업 도구들을 집중적으로 노리는 건, 재택 근무자들이 많아짐에 따라 공유되는 정보가 급증했기 때문이다. 늘 필요한 만큼만 공유하고 소통하는 게 중요하다. 제로 트러스트 모델의 중요한 개념 중 하나가 ‘최소한의 권한만 허용한다’인데, 이와 일맥상통한다.
그 외 회사 내에서 지켜왔던 기본적 보안 실천 사항들을 그대로 계속 지키는 것도 기억해야 한다. 비밀번호를 강력하게 설정해 안전하게 관리하고, 기왕이면 다중인증을 도입하며, 제 때 취약점을 패치하는 것, 기밀이나 민감한 정보를 다룰 때 안전하고 인증된 채널을 통해서만 하는 것 등을 말한다.
글 : 팀 새들러(Tim Sadler), Tessian
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>