¹°¸®Àû Á¢±Ù ¼º°øÇϰųª ½Ã½ºÅÛ Ä§ÇØÇϸé VPN ¼¼¼Çµµ Àå¾Ç ´çÇÒ ¼ö ÀÖ¾î
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ½Ã½ºÄÚ(Cisco), F5 ³×Æ®¿÷½º(F5 Networks), ÆȷξËÅä ³×Æ®¿÷½º(Palo Alto Networks), ÆÞ½º ½ÃÅ¥¾î(Pulse Secure)¿¡¼ ¸¸µç VPN ¾Ûµé¿¡¼ ¹®Á¦°¡ ¹ß°ßµÆ´Ù. ÀÎÁõ ÅäÅ«°ú ¼¼¼Ç ÄíÅ°¸¦ ¾ÏÈ£È ¾øÀÌ »ç¿ëÀÚ ÄÄÇ»ÅÍ¿¡ ÀúÀåÇÑ´Ù´Â °ÍÀÌ´Ù. ÀÌ¿¡ ´ëÇØ ¹Ì±¹ÀÇ »çÀ̹ö º¸¾È ¹× ±â¹Ý ½Ã¼³ ¾Èº¸±¹(Cybersecurity and Infrastructure Security Agency, CISA)°¡ ¹ßÇ¥Çß´Ù.
[À̹ÌÁö = iclickart]
¡°VPN¾ÛÀÌ ÀÎÁõ ÅäÅ«°ú ¼¼¼Ç ÄíÅ°¸¦ ±×·± ½ÄÀ¸·Î ÀúÀåÇÑ´Ù´Â °Ç, »ç¿ëÀÚ Àåºñ¿¡ ·ÎÄà Á¢±ÙÀÌ °¡´ÉÇÑ °ø°ÝÀÚ°¡ VPN ¼¼¼ÇÀ» ½ºÇªÇÎÇÏ°í, »ç¿ëÀÚÀÎ °Íó·³ °¡µ¿½Ãų ¼ö ÀÖ´Ù´Â ¶æÀÌ µË´Ï´Ù.¡± VPNÀ̶ó´Â °ÍÀÌ ÀÎÅͳÝÀÇ A¶ó´Â ÁöÁ¡¿¡¼ B¶ó´Â ÁöÁ¡À» ¾ÈÀüÇÏ°í Àº¹ÐÇÏ°Ô ¿¬°áÇÏ´Â µ¥ »ç¿ëµÈ´Ù´Â °ÍÀ» »ý°¢ÇßÀ» ¶§ ÀÌ´Â Ä¡¸íÀûÀÎ °áÇÔÀÏ ¼ö ÀÖ´Ù.
¡°°ø°ÝÀÚ°¡ VPN »ç¿ëÀÚÀÇ ¿£µåÆ÷ÀÎÆ®¿¡ Áö¼ÓÀûÀ¸·Î Á¢±ÙÇÒ ¼ö ÀÖ°Ô µÇ°Å³ª, ÄíÅ°¸¦ »©µ¹¸± ¼ö ÀÖ°Ô µÈ´Ù¸é, »ç¿ëÀÚÀÇ VPN ¼¼¼ÇÀ» ¶È°°ÀÌ Àç»ýÇÔÀ¸·Î½á ÀÎÁõ ÀåÄ¡µéÀ» ¿ìȸÇÒ ¼ö ÀÖ°Ô µË´Ï´Ù. »ç¿ëÀÚ°¡ VPNÀ» ÅëÇØ Á¢±ÙÇÏ°í »ç¿ëÇß´ø ¾ÖÇø®ÄÉÀ̼ǵéÀ» °ø°ÝÀڵ鵵 »ç¿ëÇÒ ¼ö ÀÖ°Ô µÇ´Â °Ì´Ï´Ù.¡± CISAÀÇ ¼³¸íÀÌ´Ù.
¹®Á¦°¡ ¹ß°ßµÈ VPNµé Áß ÄíÅ°¸¦ ·Î±× ÆÄÀÏ°ú ¸Þ¸ð¸® ³»¿¡ ºÒ¾ÈÀüÇÏ°Ô ÀúÀåÇÏ´Â °ÍÀ¸·Î ³ªÅ¸³ Ç÷§ÆûµéÀº ´ÙÀ½°ú °°´Ù.
1) CVE-2019-1573 : ÆȷξËÅäÀÇ ¡ãÀ©µµ¿ì¿ë ±Û·Î¹úÇÁ·ÎÅØÆ® ¿¡ÀÌÀüÆ® 4.1.0(GlobalProtect Agent 4.1.0 for Windows), ¡ã ¸ÆOS¿ë ±Û·Î¹úÇÁ·ÎÅØÆ® ¿¡ÀÌÀüÆ® 4.1.10(GlobalProtect Agent 4.1.10 for macOS) ¹× ±× ÀÌÀü ¹öÀü.
2) CVE-2013-6024 : ÆÞ½º ½ÃÅ¥¾îÀÇ ¡ã Ä¿³ØÆ® ½ÃÅ¥¾î(Connect Secure) 8.1R14 ÀÌÀü ¹öÀü, 8.2, 8.3R6, 9.0R2, ¡ã F5 BIG-IP APM 11.41 ¹× ÀÌÀü ¹öÀüÀÇ ¿§Áö Ŭ¶óÀ̾ðÆ®(Edge Client)¿ä¼Òµé, ¡ã BIG-IP ¿§Áö °ÔÀÌÆ®¿þÀÌ(Edge Gateway) 11.3 ¹× ÀÌÀü ¹öÀü, ¡ã ÆÄÀ̾îÆнº(FirePass) 7.0 ¹× ÀÌÀü ¹öÀü.
¿©±â¿¡ ´õÇØ ½Ã½ºÄÚÀÇ ¾Ö´ÏÄ¿³ØÆ®(AnyConnect) 4.7.x ¹× ±× ÀÌÀü ¹öÀüµéÀº ÄíÅ°¸¦ ¸Þ¸ð¸® ³»¿¡ ºÎÁ¤È®ÇÏ°Ô ÀúÀåÇÑ´Ù°í ÇÑ´Ù. CISA´Â ¡°´Ù¸¥ Ç÷§Æûµé¿¡¼µµ ºñ½ÁÇÑ Çö»óÀÌ ÃæºÐÈ÷ ÀÖÀ» ¼ö ÀÖ´Ù¡±¸ç ¡°VPN ¾ÖÇø®ÄÉÀ̼ǵ鿡¼ ÈçÈ÷ ³ªÅ¸³ª´Â Çö»óÀ¸·Î Àǽɵȴ١±°í ¸»Çß´Ù.
º¸¾È ¾÷ü ½ÃÅ¥¸®Æ¼ÆÛ½ºÆ®(SecurityFirst)ÀÇ CMOÀÎ ´í ÅÍŬ·¯(Dan Tuchler)´Â ¡°Áö±Ý ¾ð±ÞµÇ°í ÀÖ´Â VPNµéÀº À¯¸í ¾÷üµéÀÌ ±â¾÷¿ëÀ¸·Î ¸¸µç °Íµé¡±À̶ó°í °Á¶ÇÑ´Ù. ¡°±â¾÷ÀÇ ÀÚ»êÀ» º¸È£Çϱâ À§ÇØ ½ÂÀÎÀ» ¹ÞÀº Á¤»ó »ç¿ëÀڵ鸸 Á¢±ÙÇÒ ¼ö ÀÖµµ·Ï ¸¸µç °ÍÀÔ´Ï´Ù. ÇÏÁö¸¸ ÀÌ·¸°Ô ±âÃÊÀûÀÎ ºÎºÐ¿¡¼ ¹®Á¦°¡ ¹ß°ßµÆ´Ù´Â °Ç ½É°¢ÇÑ ÀÏÀÔ´Ï´Ù.¡±
±×·¯¸é¼ ±×´Â ¡°ºê·£µå À̸§°ú ¡®±â¾÷¿ë Á¦Ç°¡¯À̶ó´Â ºÐ·ù¸¸À¸·Î ÀÚ»êÀ» ¾ÈÀüÇÏ°Ô Áöų ¼ö ¾ø´Ù¡±°í °Á¶ÇÑ´Ù. ¡°³×Æ®¿öÅ©ÀÇ °æ°è¼±À̶ó´Â °³³äÀÌ ¾ó¸¶³ª ¸ðÈ£ÇÑ °ÍÀÎÁö ÀÌÇØÇÏ°í, Á¦·ÎÆ®·¯½ºÆ®(zero-trust) ¸ðµ¨À» µµÀÔÇÏ´Â °Ô Áß¿äÇÕ´Ï´Ù. °ø°ÝÀÚ°¡ ³×Æ®¿öÅ©¿¡ ħÅõÇÏ´Â µ¥ ¼º°øÇÑ ÈÄ °í°¡Ä¡ÀÇ Àڻ꿡 Á¢±ÙÇϱ⠽ÃÀÛÇßÀ» ¶§¸¦ °¡Á¤ÇÏ°í µ¥ÀÌÅ͸¦ ¾ÏÈ£ÈÇÏ°í, Á¢±Ù°ú »ç¿ë¿¡ ÀÖ¾î ¾ÈÀüÇÑ Á¤Ã¥À» Àû¿ëÇϸç, Ç×»ó ¸ð´ÏÅ͸µÇØ¾ß ÇÏÁÒ. ÁÁÀº ȸ»çÀÇ VPNÀ» »ç¿ëÇß´Ù´Â °Í¸¸À¸·Î ¹º°¡°¡ º¸È£µÉ °Å¶ó´Â »ý°¢Àº °ÅÀÇ Ç×»ó Ʋ¸³´Ï´Ù.¡±
ÆȷξËÅä´Â ±Û·Î¹úÇÁ·ÎÅØÆ® 4.1.1 ¹öÀüÀ» ÅëÇØ À§ ¹®Á¦¸¦ ÆÐÄ¡Çß´Ù. F5µµ 12.1.3°ú 13.1.0 ¹× »óÀ§ ¹öÀüµéÀ» ÅëÇØ ÀÚ»ç Á¦Ç°¿¡¼ ³ªÅ¸³ ¹®Á¦µéÀ» ÇØ°áÇß´Ù. »ç½Ç F5´Â ºÒ¾ÈÀüÇÑ ¸Þ¸ð¸® ÀúÀå ¹®Á¦¸¦ 2013³âºÎÅÍ ¾Ë°í ÀÖ¾ú´Ù°í CISA´Â ¼³¸íÇÑ´Ù. ½Ã½ºÄÚÀÇ ¾Ö´ÏÄ¿³ØÆ®¿Í ÆÞ½º ½ÃÅ¥¾îÀÇ Ä¿³ØÆ® ½ÃÅ¥¾î Á¦Ç°ÀÇ °æ¿ì, ¾ÆÁ÷ ÆÐÄ¡°¡ ³ª¿ÀÁö ¾Ê°í ÀÖ´Ù.
(±â»ç ¾÷µ¥ÀÌÆ® : ÆÞ½º½ÃÅ¥¾îÀÇ °æ¿ì Pulse Desktop Client 9.0R3¸¦ Æ÷ÇÔÇÑ ±× ÀÌÈÄ ¹öÀü°ú Pulse Desktop Client 5.3R7À» Æ÷ÇÔÇÑ ±× ÀÌÈÄ ¹öÀü, ÆÞ½ºÄ¿³ØÆ®½ÃÅ¥¾î(PCS) 9.0R3 ¹× ±× ÀÌÈÄ ¹öÀü, 8.3R7 ¹× ±× ÀÌÈÄ ¹öÀü, 8.1R14 ¹× ±× ÀÌÈÄ ¹öÀüÀ» ÅëÇØ ÇȽº ¹èÆ÷¸¦ ¿Ï·áÇß´Ù.)
À̹ø¿¡ ¹ßÇ¥µÈ Ãë¾àÁ¡µéÀº ÀüºÎ Áß°£ µî±ÞÀÇ À§Ç輺À» °¡Áö°í ÀÖ´Â °ÍÀ¸·Î °áÁ¤µÆ´Ù. ¾Ç¿ëÀ» À§Çؼ´Â °ø°ÝÀÚ°¡ »ç¿ëÀÚÀÇ ÄÄÇ»Å͸¦ ¸ÕÀú ħÇØÇϰųª ¹°¸®ÀûÀ¸·Î Á¢±ÙÇØ¾ß Çϱ⠶§¹®ÀÌ´Ù.
º¸¾È ¾÷ü ÄÞÆи®Å×Å©(Comparitech)ÀÇ ÇÁ¶óÀ̹ö½Ã °í¹®ÀÎ Æú ºñ¼îÇÁ(Paul Bischoff)´Â ¡°Áß°£±Þ À§Çèµµ¸¦ °¡Áø Ãë¾àÁ¡À̶ó°í Çؼ °£°úÇÏ¸é ¾È µÈ´Ù¡±°í °Á¶ÇÑ´Ù. ¡°ÀÌ VPNÀ» »ç¿ëÇÏ´Â Á¶Á÷µéÀ̶ó¸é º¸¾È°ú ÀÚ»ê º¸È£¿¡ Å« ½Å°æÀ» ¾²°í ÀÖ´Â °æ¿ì°¡ ¸¹À» ÅÙµ¥, ±×·± °÷À̶ó¸é ÇØÄ¿µéÀÌ ´õ Áý¿äÇÏ°Ô Ç¥Àû °ø°ÝÀ» ÇÒ ¼ö ÀÖ½À´Ï´Ù. °ø°ÝÀ» ¼º¸³½ÃÅ°±â À§ÇÑ ÀüÁ¦Á¶°ÇÀ̶õ °Ç ÇØÄ¿µé¿¡°Ô ±×¸® Å« ¹®Á¦°¡ µÇÁö ¾ÊÀ» ¶§°¡ ¸¹½À´Ï´Ù.¡±
3ÁÙ ¿ä¾à
1. ½Ã½ºÄÚ, F5 ³×Æ®¿÷½º, ÆȷξËÅä ³×Æ®¿÷½º, ÆÞ½º ½ÃÅ¥¾î¿¡¼ Á¦°øÇÏ´Â VPN ¾Ûµé¿¡¼ Ãë¾àÁ¡ ¹ß°ßµÊ.
2. ¼¼¼Ç ÄíÅ° µîÀ» ·ÎÄÿ¡ ¾ÏÈ£È ÇÏÁö ¾Ê°í ÀúÀåÇÏ´Â °ÍÀ¸·Î, °ø°ÝÀÚ°¡ ÇØ´ç ½Ã½ºÅÛÀ» ħÇØÇÏ¸é »ç¿ëÀÚ Èä³» ³» VPN »ç¿ë °¡´É.
3. À¯¸í ¾÷üÀÇ ¼Ö·ç¼Ç Çϳª¸¸À¸·Î ¸ðµç º¸¾È ¹®Á¦°¡ ÇØ°áµÇÁö ¾Ê´Â´Ù´Â Á¡ ±â¾ïÇØ¾ß ÇÔ.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>