VPN을 사용하는 것만으로 안전해지는 것 아냐...꾸준한 관리와 점검 필요
[보안뉴스 문가용 기자] 미국 NSA가 IP보안(IPSec)과 가상 사설망(VPN)을 안전하고 제대로 설정하는 방법을 발표했다. 코로나 때문에 원격 근무자가 늘어나고, 이런 상황을 사이버 공격자들이 악용하기 시작했기 때문으로 보인다.
[이미지 = utoimage]
VPN은 원격에서 내부 시스템에 연결할 때 권장되는 기술로 일정 수준의 보안성을 확보해준다. 특히 강력한 암호화 기술과 동반될 때, 그리고 관리자가 주기적인 평가를 통해 설정 오류와 취약점을 해결할 수 있다면 더 안전하게 사용할 수 있다.
그런 맥락에서 NSA의 제안 사항들은 VPN 관리자들을 위한 것이기도 하다. 설정 오류를 줄이고, 공격 경로를 감소시키는 방법들을 주로 다루고 있다. 또한 어떤 암호화 알고리즘을 사용하는 게 나은지도 제안한다. 다 CNSSP-15라는 정책에 부합하는 알고리즘들이다. VPN 게이트웨어와 클라이언트를 항상 최신화시켜야 한다는 내용도 포함되어 있다.
또한 디폴트 설정을 있는 그대로 사용하는 것도 안전하지 못하다고 NSA는 권장하고 있다. 또한 솔루션 제조사에서 제공한 자동화 설정 도구를 사용하는 것도 안전하지 않을 수 있다고 지적한다. 그러면서 VPN 게이트웨이로 가는 트래픽을 UDP 포트 500/4500으로 제한하고, 알려진 VPN 피어 IP 주소들로만 연결되도록 설정하도록 권장한다.
ISAKMP/IKE와 IP보안 정책들에 대한 권장 사항도 포함되어 있다. 이를 제대로 지키지 않을 경우 VPN 전체가 공격에 노출될 수 있다는 게 NSA의 주장이다. 2020년 6월부터 CNSSP-15는 ISAKMP/IKE의 최소 권장 사항으로 다음과 같은 항목들을 내세우고 있다.
1) 디피헬만 그룹 16(Diffie-Hellman group 16)
2) AES-256 암호화
3) SHA-384 해시
IP보안과 관련된 최소 권장 사항은 다음과 같다.
1) AES-256 암호화
2) SHA-384 해시
3) CBC 블록 사이퍼 모드
NSA는 이러한 권장 사항들을 발표하면서 “암호화 기술과 관련된 표준은 컴퓨팅 환경이 변하면서 같이 변할 수밖에 없다”고 강조했다. “암호화 알고리즘에서는 늘 취약점이 발견될 수밖에 없고, 때문에 이런 내용을 반영한 정책과 표준이 늘 함께 나와야 합니다. 암호화 기술을 사용한다면, 반드시 관련 기술 제반 사항과 표준, 권장 사항들의 최신 내용을 확인할 수 있어야 합니다.”
이렇게 최신 기술 사안이 반영되지 않은 표준을 계속해서 사용할 경우 VPN이 여러 가지 공격에 노출될 수 있고, 따라서 관리자들은 VPN을 사용하고 있다는 사실 자체에 마음을 놓을 것이 아니라 이 VPN 환경 역시 꾸준하게 관리해줘야 한다. 이를 NSA는 “ISAKMP/IKE와 IPsec 정책에 대한 컴플라이언스”라고 보다 명료하게 정리하고 있다.
결국 VPN 관리자들이 점검해야 할 것은 다음 세 가지로 요약이 가능하다.
1) 표준으로 권장되는 강력한 암호화 기술을 사용한다. 이를 위해서 암호화 기술 현황을 늘 파악하고 있어야 한다.
2) 디폴트 설정은 그 자체로 안전하지 않다. 조직에 가장 알맞은 환경을 알맞게 구축해야 한다.
3) VPN 게이트웨이와 클라이언트를 항상 최신 버전으로 유지해야 한다.
NSA는 “VPN들은 원격 접근 및 관리 등을 지원하는 데 있어 필수적인 요소”라며 “그러나 그 자체로 안전해지는 것이 아니라 다른 기술 및 규정 준수 등이 동반되어야 비로소 진정한 강력함을 누릴 수 있게 된다는 것을 기억해야 한다”고 강조했다.
원본은 여기(https://media.defense.gov/2020/Jul/02/2002355501/-1/-1/0/CONFIGURING_IPSEC_VIRTUAL_PRIVATE_NETWORKS_2020_07_01_FINAL_RELEASE.PDF)서 다운로드가 가능하다.
3줄 요약
1. NSA, 대량 재택 근무자 시대를 맞아 안전한 VPN 사용법 발표.
2. 표준 암호화 기술 사용하고 디폴트 설정 기피하고 최신 버전 유지하는 것이 핵심.
3. VPN을 사용한다는 것 자체만으로 안전해지지 않는다는 것 기억하는 것이 중요.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>