기업 네트워크가 지나치게 방대해진 가운데 가시성은 떨어지고, 여전히 구형 운영체제를 사용하는 PC 및 서버와 취약한 사물인터넷(IoT) 기기가 뒤섞여 있다는 점이 최근 연구를 통해 드러났다.
팔로알토네트웍스(Palo Alto Networks)가 발표한 ‘기기 보안 위협 보고서’에 따르면, 전체 리눅스 시스템의 26%, 윈도우 시스템의 8%가 이미 지원이 종료된(EOL) 운영체제를 사용 중인 것으로 나타났다.
1,800개 기업 네트워크에서 수집한 2,700만 개 기기의 텔레메트리 데이터를 분석한 결과, 네트워크 디렉토리에 등록된 IT 기기 가운데 39%는 활성 엔드포인트 보안 기능이 없었다. 또한 전체 기업용 기기의 32.5%가 IT 관리 범위 밖에서 운영되고 있었다.
이처럼 보안 통제가 적용되지 않은 환경에서는 공격자가 보호되지 않은 기기에 침투하더라도 탐지되지 않고 활동할 수 있다. 전체 기업 네트워크의 77%는 분리가 미흡해, 스마트 커피머신이나 프린터 같은 저보안 기기와 금융 서버처럼 가치가 높은 자산이 동일한 네트워크 세그먼트에 배치된 상태였다.
팔로알토네트웍스 클라우드 기반 보안 서비스 제품관리 부사장인 창 후앙은 “사무실 카메라, 스마트 센서, 개인 노트북처럼 일상적으로 사용하는 기기가 민감한 시스템과 직접 연결돼 있는 경우가 매우 많다는 점이 특히 눈에 띄었다”라며, “IT 부서가 관리하는 기기조차 상당수 보안 공백을 안고 있다. 이 가운데 거의 절반은 애초에 보안을 염두에 두지 않고 만들어진 고위험 기기가 관여한 것으로 파악된다”라고 설명했다.
가시성 공백
가시성과 네트워크 분리는 여전히 많은 기업 환경에서 취약한 지점으로 남아있다. 전체 기기 중 약 3분의 1은 관리되지 않고 있으며, 다수의 네트워크가 사실상 평면 구조에 가까워 공격자가 한 번 침투하면 내부에서 자유롭게 이동할 수 있는 상황이다.
더 문제인 점은 네트워크 엣지 장비가 아직 패치되지 않은 제로데이 취약점에 점점 더 많이 노출되고 있다는 점이다. 전문가들은 이런 문제가 기초적인 보안 결함에서 비롯됐다고 지적했다.
트렌드마이크로(Trend Micro) 필드 CTO 바라트 미스트리는 “방화벽, 라우터, 스위치 구성 오류는 반복적으로 심각한 침해사고를 초래해 왔다. 이들 장비는 권한이 높고 네트워크 전체를 들여다볼 수 있기 때문에, 취약점 목록의 상위에 오르는 경우가 많다. 이는 곧 패치와 설정 관리를 훨씬 더 엄격하게 해야 한다는 점을 보여준다”라고 말했다.
특히 네트워크 엣지에 위치한 라우터, 화상회의 장비, IoT 기기 등은 여전히 제대로 관리되지 않거나 패치가 미흡하며, 기본 인증 정보를 그대로 사용하는 경우도 많다.
포어스카우트(Forescout) 보안 인텔리전스 부사장 릭 퍼거슨은 “인터넷에 드러난 지점을 최소화하고 기본 인증 정보를 제거한 뒤, 외부에서 접근 가능하면서 취약한 장비를 우선적으로 보완하면 공격자가 손쉽게 파고들 여지가 크게 줄어든다”라고 말했다.
퍼거슨은 이어 “에이전트 기반 방식만으로는 충분하지 않기 때문에, 지속적인 에이전트리스 기반 가시성 확보와 소프트웨어 및 펌웨어 인벤토리 관리가 필요하다. 또한 분리와 패치 단계에서 리스크 기반 통제를 적용해야 한다”라고 말했다.
위험해지는 비즈니스
퍼거슨은 팔로알토네트웍스의 조사 결과가 전 세계 기업 네트워크에서 포어스카우트가 관찰한 내용과도 일치한다고 전했다.
퍼거슨은 “리눅스 시스템의 26%, 윈도우 시스템의 8%가 EOL 상태라는 팔로알토네트웍스의 결과는 우리가 현장에서 확인하는 양상과도 비슷하다. 특히 라우터와 각종 어플라이언스에 내장된 리눅스는 커널 버전 업데이트가 수년간 지연된 경우가 많다. 이로 인해 인터넷에서 접근 가능한 장비들이 미패치 취약점과 허술한 기본 설정을 그대로 노출하는 대규모 공격 표면을 형성한다”라고 설명했다.
포어스카우트의 최신 연례 ‘위험한 기기’ 보고서에 따르면, 특히 심각한 취약점을 가진 기기 가운데 절반 이상이 라우터를 비롯한 네트워크 장비로 나타났다. 또한 화상·음성 시스템 등 다른 범주의 기기들도 높은 위험도를 보였다.
포어스카우트의 이번 연구는 디바이스 클라우드를 통해 수집한 기업용 기기 텔레메트리와 다중 요인 기반 위험 점수 모델을 바탕으로 진행됐으며, 운영기술(OT) 분야의 위험이 빠르게 증가하고 있다는 점도 강조했다.
연구에 따르면, 영역별로 가장 위험한 장비 유형은 IT 영역의 애플리케이션 전달 컨트롤러(ADC)와 방화벽, IoT 영역의 네트워크 비디오 레코더(NVR), NAS, VoIP, IP 카메라, 그리고 OT 영역의 게이트웨이와 빌딩 관리 시스템(BMS)이었다.
복잡한 개선 과제
퀄리스(Qualys) EMEA 매니징 디렉터 맷 미들턴 리얼은 CISO가 보안 개선 프로젝트를 위해 내부 지원을 얻으려면 가시성 확보, 취약성 개선, 네트워크 분리를 더 높은 우선순위로 다뤄야 한다고 말했다.
미들턴 리얼은 “핵심 문제는 2가지다. 모든 IT 자산의 가시성을 어떻게 확보할 것인가, 그리고 왜 비즈니스 내부에 여전히 EOL 소프트웨어나 하드웨어가 남아 있는가다. CISO가 이 문제를 해결하려면 리스크 관점에서 비즈니스와 함께 논의해야 한다”라고 설명했다.
보안 리더에게 어려운 점은, 보안 취약 장비를 교체하는 프로젝트가 내부에서 낮은 우선순위로 취급된다는 사실이다. 반면 AI 관련 프로젝트는 혁신 분야로 인식되기 때문에, 조직 차원에서 투자 명분을 더 쉽게 인정받는다.
미들턴 리얼은 “수명이 다한 자산을 교체하려면 시간도 필요하고 변화 관리 같은 추가 작업도 요구되는데, 그 과정에는 비용이 든다. 문제는 이런 교체 작업이 비즈니스 측면에서는 성과를 내는 영역으로 인식되지 않는다는 점”이라고 말했다.
GRC 인터내셔널 그룹 정보보안 책임자 아담 시몬스도 기존 시스템 교체가 기업 IT 프로젝트에서 우선순위를 차지하는 경우는 거의 없다고 언급했다.
시몬스는 “수명이 다한 윈도우나 리눅스 시스템이 계속 남아 있는 건 게으름 때문이 아니라 현실적인 문제 때문”이라며 “기존 시스템 교체는 비용 부담이 크고 위험도 있으며, 실제로 뭔가 고장 나기 전까지는 늘 우선순위에서 밀린다”라고 지적했다.
시몬스는 이어 “패치되지 않은 장비는 모두 공격자에게 문을 열어주는 것이나 마찬가지”라고 말했다.
개선 작업은 단순히 하드웨어 교체나 마이그레이션에 그치지 않을 수 있다. 새롭고 안전한 구성요소와 호환되도록 소프트웨어를 리팩터링해야 하는 추가 작업이 뒤따르는 경우도 있기 때문이다.
미들턴 리얼은 “이런 오래된 소프트웨어 자산이 업데이트되지 않는 가장 큰 이유도 결국 여기에 있다. 재작업과 변화 관리에 드는 비용이 상당하지만, 그에 비해 비즈니스 효과는 크지 않기 때문”이라고 설명했다.
그는 “CISO와 보안 리더는 이러한 비용 구조를 고려해 팀을 이끌어야 하며, 수명이 지난 소프트웨어를 교체할 수 없는 경우 보완 통제 및 리스크 완화 방안을 설계해 해당 소프트웨어와 자산을 보호해야 한다”라고 조언했다.
dl-ciokorea@foundryco.com
Read More from This Article: 기업 네트워크, 노후 시스템과 미패치 장비로 보안 위험 급증
Source: News

