코로나19(신종 코로나바이러스 감염증)를 기점으로 국내 기업들이 재택근무에 눈을 떴다. 화상회의와 협업 도구 등 원격 업무를 돕는 다수 솔루션뿐 아니라 보안 대응을 위해 네트워크 가상사설망(VPN)에도 주목한다. 하지만 보안 업계는 VPN만 의존해서는 변화하는 기업 환경에 적합한 보안 대책이 될 수 없다고 지적한다. 데스크톱 가상화(VDI)와 제로 트러스트 개념 등 보완책이 필요하다는 평가다.
13일 관련 업계에 따르면 코로나19로 VPN이 새롭게 주목받는다. 재택근무가 확산하면서 직원들이 언제 어디서든 안전하게 사내망에 접근할 수 있도록 하기 위함이다. VPN은 암호화 기술을 이용해 외부에서 일반 네트워크를 활용, 사내망에 접속하도록 지원하는 네트워크 보안 기술이다.
보안업계는 대기업을 중심으로 사용률이 높았던 VPN이 이제는 규모를 떠나 중소·중견기업도 관심을 갖고 문의하고 있다고 입을 모은다. 업계 한 관계자는 "최근 VPN 문의가 몇 배씩 급증했다"며 "업종 구분을 떠나 모두 관심을 보인다"고 말했다.
업계 전문가들은 VPN이 만능은 아니라고 조언한다. VPN 사용에 한계점이 있는 만큼 이를 잘 따져봐야 한다는 것이다. VPN 사용 시 사내망과 외부망 사이에 고가의 장비를 설치해야 하기 때문이다. 사내 구축을 안정화하기까지 일정 시간도 소요된다.
VPN이 구축돼 있더라도 장비 1대당 접속자 수가 제한돼 있다. 전사 직원이 갑작스럽게 재택근무를 시행할 시 라이선스를 추가로 구입해야 한다. 트래픽의 급격한 증가로 VPN 기능이 제대로 작동하지 않을 수도 있다.
실제 네이버는 2월 26일 원격근무 시행 첫날 VPN 오류로 업무가 마비되는 사태를 겪었다. 네이버는 "원격근무 첫날 많은 사람이 한꺼번에 몰려들면서 과부하가 걸렸다"고 설명했다.
VPN이 사이버 공격에서 자유로울 수 없다는 지적도 나온다. 네트워크는 보호하더라도 업무 환경 자체가 개인 PC인 탓이다. 만일 PC에서 사이버 공격이 발생해 해커가 사용자 계정을 탈취하면 해당 계정으로 회사 내부망에 접근해 기밀 정보를 빼가는 등 문제가 발생할 수 있다.
일례로 2019년 해외에서는 특정 지능형지속공격(APT) 조직이 다수 보안 업체의 VPN 제품 취약점을 노린 사이버 공격을 시도한 것으로 드러나 논란을 빚었다. APT는 해커가 미리 점친 표적 정보를 꾸준히 모아 약점을 파악한 뒤 지능적으로 공격하는 방식을 말한다.
영국 국가사이버보안센터(NCSC)는 "VPN 제품을 패치 없이 사용하면 APT 공격을 받을 수 있다"며 "세계 곳곳의 정부 기관과 학술 단체, 기업 등에서 피해가 속출하고 있다"고 경고했다.
가상 데스크톱으로 보안 높일 수 있어
이에 업계에서는 VPN 한계점 보완책으로 데스크톱 가상화(VDI)를 내세운다. VDI는 기업 데이터센터나 클라우드에 있는 서버를 본체(데스크톱)로 활용하는 가상화 기술이다. VDI만 있으면 직원이 개인 PC와 스마트폰, 아이패드 등 단말기 종류와 관계없이 사내 PC인 것처럼 업무를 볼 수 있어 원격근무에 적합하다는 평가를 받는다. VDI 상에서 모든 업무가 이뤄지기에 개인 PC에서 자료가 유출될 위험도 적다.
다만 VPN과 유사하게 서버를 구축하는 데 시간과 비용이 소모될 수 있다. 그럼에도 VPN 한계를 보완하는 여러 이점 때문에 삼성 SDS와 LG CNS, SK(주) C&C 등 주요 IT 서비스 기업은 이미 2010년 이후 VDI를 자체 구축해 원격근무에 활용하고 있다.
삼성 SDS 관계자는 "삼성 SDS는 VPN 보안 한계를 보완하고 어느 곳에서든 사내 환경처럼 업무를 보고자 2011년부터 클라우드 서버를 통한 VDI를 이용한다"며 "다양한 협업 솔루션도 함께 사용하며 코로나 사태 전부터 원격근무를 지원하고 있다"고 말했다.
LG CNS도 자사 블로그에 "2010년 한국에서는 처음으로 전 임직원에 VDI를 도입했다"며 "이로 인해 매년 발생하던 PC 분실, 도난, 파손 등으로 인한 자료 유출 사고가 사라졌다"고 밝혔다.
가트너 "기업 60%, VPN에서 제로 트러스트로 향한다"
제로 트러스트(Zero Trust) 기술도 보안 편의성, 가시성, 관리 측면에서 VPN 보완책으로 꼽힌다. 제로 트러스트란 단어 의미대로 ‘아무도 믿지 않는다'는 전제에서 출발해 허가된 사용자만이 데이터에 접근하도록 인증 절차를 마련하는 보안 기술이다.
기존에는 기업 외부만을 보안 경계로 삼았다면 이제는 내부까지 보안을 강화해 원천적인 차단에 나서는 것을 말한다. 네트워크와 인프라 보안을 모두 포괄한다.
신용훈 소닉월 한국 지사장은 "온프레미스(사내)와 프라이빗 클라우드, 아마존웹서비스(AWS) 등의 퍼블릭 클라우드까지 기업의 IT 환경이 복잡해지면서 보안 관리가 어려워졌다"며 "직원이 다양한 환경에서 다수 단말기로 업무를 진행하려다 보니 검증된 사용자만 기업 내부 리소스에 접근하도록 권한 제어를 하는 제로 트러스트 개념이 대두했다"고 설명했다.
가트너는 2023년까지 전체 기업의 60%가 VPN에서 벗어나 제로 트러스트 기반으로 보안 개념을 변화할 것이라고 예측했다.
제로 트러스트 기반 소프트웨어 정의 경계(SDP) 솔루션도 미국을 중심으로 확산되는 모습이다. VPN이 네트워크에 접속한 후 인증받는 구조라면 SDP는 애플리케이션을 통해 인증한 후 네트워크에 접속하는 반대 방식이다. 인증 과정에서 해커가 서버를 볼 수 없도록 원천 차단한다.
SDP는 미국 국방성이 세계 곳곳에 파견된 미군을 관리할 때 쓴 네트워크 보안 기술을 상용화한 솔루션으로 클라우드보안연합(CSA) 보안 표준이다. 블랙 클라우드(Black Cloud)로도 불린다. 현재 국내외 보안 업계가 개발을 마쳤거나 진행 중이다.