본문 바로가기

보안칼럼

이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.


코로나 19 바이러스 이슈로 인해, 많은 기업이 임직원들에 대한 보호와 예방 차원에서 재택근무를 진행하고 있습니다. 재택근무 형태를 2020년 2월 말 경부터 조기에 도입한 기업들은 벌써 기간 연장을 거듭하여 한 달째에 이르고 있는 상황입니다.


이런 재택근무 시기에도 외부 위협은 계속되고 있습니다. 공격자들은 사용자들이 최근 가장 관심을 가질만한 코로나 19 바이러스 관련 정보를 포함하여 송장, 관리시스템의 장애 확인, 임직원 계정 확인 등의 다양한 주제를 활용하여 공격을 시도하고 있습니다.


ESRC에서는 보안관리자 입장에서 이러한 공격에 효과적으로 대응하기 위한 체크리스트를 몇가지 알려드리오니 업무에 도움이 되길 바랍니다. 



1. 재택근무를 위해 활용하는 엔드포인트 장비/관련 기기에 대한 점검

재택근무를 위해 집에서 클라우드 플랫폼을 통해 일하던지, VPN을 통해 사내망 접속을 하는 경우, 사용자가 실제로 접속하는 엔드포인트 장비와 공유기와 같은 관련 기기에 대한 점검이 무엇보다 가장 중요합니다.


회사에서 정보보호조직의 검수를 거쳐 수령한 장비의 경우는 상대적으로 안전하지만, 기존 재택에서 가족 모두가 함께 사용하는 공용 PC나 개인소유 노트북으로 업무를 수행할 때 백신을 통해 악성코드 감염 여부 파악 및 사용 중인 OS와 SW에 대한 최신 보안패치 점검은 필수입니다. 또한 가정에서 공유기를 사용하는 경우 공유기의 ADMIN 계정 정보에 대한 관리 및 펌웨어 최신 업데이트 여부 확인도 중요합니다. 


관리자는 반드시 재택근무 시 활용하는 장비에 대한 점검리스트를 작성하고 점검 진행을 안내한 후 점검 결과를 검토해야 합니다.


2. 재택근무 관련 근무 규정 수립 및 교육

사무실에서 근무하던 임직원들이 코로나 19 바이러스라는 급작스러운 이슈로 인해 사전에 재택근무에 대한 준비가 완벽하게 이뤄지지 않은 상황에서 각자 가정으로 흩어지면서 재택근무 관련 사내 보안정책과 지침에 대한 수립이 제대로 이뤄지지 않은 경우가 대부분입니다. 


기존에 없던 업무 형태이다 보니 재택근무 관련 근무 규정 수립과 동시에 해당 내용에 대한 임직원 숙지를 위한 안내/교육 과정도 필수적입니다. 개인이 소유한 장비를 통해 재택근무를 수행하는 경우에도 비인가 소프트웨어 설치 금지에 대한 명확한 가이드 역시 필요합니다.


3. 임직원 계정을 노리는 크리덴셜 스터핑/피싱 공격을 대비하기 위한 이중인증 프로세스 필수 도입

재택근무자들이 원격으로 사내 시스템에 접속해야 하는 특성 때문에 공격자들은 무엇보다 사내에 접근 가능한 계정정보 획득을 위한 크리덴셜 스터핑 공격이나 피싱 공격을 많이 시도할 것으로 보입니다. 이미 1월 말부터 사람들이 호기심을 가질만한 가장 큰 주제인 코로나 19 바이러스 및 전통적인 사회공학적 기법 공격의 소재를 활용하여 공격이 계속 발생하고 있습니다. 메일에서 관리자 혹은 본인 계정을 입력하라고 유도하거나 특정 사이트로 이동시키는 크리덴셜 스터핑/피싱 공격 시도에 주의해야 하고 불필요한 메일 첨부파일 열람 및 링크 클릭을 지양해야 합니다.


단순히 계정정보만 입력해서 로그인이 가능한 시스템이라면 반드시 보안 강화를 위해 OTP나 추가 본인확인 솔루션을 활용한 이중인증 프로세스가 필수적으로 도입되어야 합니다.


4. 공용 와이파이/공용 PC를 통한 중요정보 전송 및 로그인 금지 안내

많은 사람이 함께 사용하는 공개된 공용 와이파이망과 공용 PC를 통해 회사 내 중요정보를 전송 및 다운로드하지 않도록 구성원들에게 지속적으로 강조해야 합니다. 특히, 개인 메일 혹은 회사 메일 계정으로 로그인할 때는 절대 공용 와이파이/공용 PC는 이용하지 않아야 한다고 알려야 합니다.


공용 와이파이와 공용 PC를 업무상으로 활용하는 것은 정보수집을 위한 웹서핑만으로 한정해야 한다는 부분을 조직 구성원들에게 숙지시키는 것이 필요합니다.


5. 문서 중앙화 솔루션과 같은 중앙서버 기반의 자산관리 시스템 활용

임직원들이 재택근무를 수행하면서 생성하는 다양한 문서 및 자료 등을 로컬에 보관하고 있다면, 또 다른 정보자산 유출 사고가 발생할 우려가 있습니다. 


문서 중앙화 솔루션과 같은 서버 기반의 자산관리 시스템을 활용한다면, 임직원들이 재택근무 중 생성/수정하는 모든 문서가 중앙서버에 저장되고 버전 관리가 이뤄져서 효율적인 자산의 관리가 가능합니다. 또한 랜섬웨어의 공격에 대해서도 자료 분실 우려가 줄어드는 장점도 있습니다.


6. 재택근무 관련 원격접속 로그 기록 보관 및 정기 점검

재택근무와 관련하여 다양한 원격접속 관련 로그가 생성됩니다. 특히 외부에서 사내로 접속 시도를 하는 경우 및 외부에서 내부자료를 대량으로 짧은 시간 내 조회하는 경우 혹은 내부에서 외부로 자료가 반출이 일어나는 경우 등에 대해 원격접속 로그를 반드시 사내규정에 따라 보관하고, 이상징후를 파악하기 위해 짧은 주기의 정기 로그 감사를 수행해야 합니다. 


이는 비인가 업무 원격처리 여부와 시스템 운영 보안 취약점을 발견하기 위해서도 반드시 모니터링이 필요합니다.


7. 웹캠 관련 해킹 주의

재택근무를 수행하면서 화상회의나 원활한 커뮤니케이션을 위해 웹캠을 활용하는 사례가 증가하고 있는데, 웹캠 사용 시에도 주의가 필요합니다. 웹캠 해킹은 최초에는 단순히 타인의 사생활을 몰래 훔쳐보는 것에 대해 흥미를 느끼고 시작이 되었지만, 점점 웹캠 해킹을 통해 획득한 은밀한 정보를 악용해 금전을 요구하고 협박을 하는 사례가 많이 발생하고 있습니다. 또한, 최근 재택근무 등으로 인해 기업 관련 다양한 중요정보와 의사결정 사항이 취약한 웹캠을 통해 유출될 가능성도 있으며, 물리적 절도 행위와 같은 2차 범죄로 이어질 가능성도 존재하므로 대비가 필요한 상황입니다.


이러한 웹캠 해킹은 웹캠 관리자페이지의 default 설정 암호를 그대로 사용하거나 취약점이 노출된 펌웨어를 업데이트하지 않을 때 발생할 수 있으며 또는 불법 SW 및 컨텐츠를 다운로드를 하기 위해 p2p에 업로드된 파일을 다운로드하는 과정에서도 위험에 노출될 수 있습니다.


웹캠을 스티커나 테이프로 막도록 안내하는 것은 좋은 방법이지만 화상회의 등으로 매번 사용 시마다 임직원들이 스티커/테이프의 제거를 번거롭게 생각한면, 사용 중인 웹캠에 대한 관리자 패스워드 설정을 변경하고 최신 펌웨어 업데이트를 진행할 수 있도록 안내해야 합니다. 물론, 인포스틸러나 RAT와 같은 악성코드를 감지하고 방어할 수 있는 신뢰할 수 있는 백신 제품 사용 여부도 꼭 함께 확인해야 합니다.


8. Mac 사용자 대상 공격 주의

최근 코로나 19 바이러스 이슈를 악용한 MacOS용 MS오피스 사용자를 타겟으로 진행된 APT 공격에서도 확인되었듯이 Mac을 업무환경으로 채택하는 사용자가 많아지는 추세에서 Mac 사용자 역시 외부위협에 노출되어 있습니다.


Mac 사용자 역시 안전한 PC 사용을 위해 MacOS와 각종 어플리케이션을 최신버전으로 유지해야 하며, 공식사이트나 Mac 앱 스토어에서만 앱을 설치해야 합니다. 많은 정보가 보관되어 있는 iCloud 계정을 노리는 피싱 역시 꾸준히 발견되고 있는데, 계정정보 입력을 유도하는 공격에 주의를 기울이도록 지속적으로 관련 내용을 공유해야 합니다.


또한 재택근무 환경에서 사용중인 Mac 디바이스 계정 관리도 중요합니다. 본인 외 가족이 함께 사용하는 디바이스인 경우 반드시 필요한 상황이 아니라면 관리자 계정이 아닌 표준 사용자 계정을 생성하여 업무에 활용하도록 안내하는 것이 안전합니다.