가상사설망(VPN, Virtual Private Network)는 별도의 사설 전용망 없이도 암호 기술에 기반한 터널링(tunneling) 프로토콜(통신규약)을 이용해 지점간을 연결함으로써, 저렴한 비용으로 원거리 통신망(WAN)을 구축할 수 있는 네트워크 솔루션을 의미한다.
VPN이 점점 더 노골적인 공격 대상이 되어가고 있다. 이 때문에 회사들은 외부에서 접속하는 우리 직원과 남의 직원을 구분하기가 어려워지고 있다. 이를 이용하여 공격자들은 기계적으로 생성한 사용자 이름들을 무작위로 대입하고 있으며, 이를 통해 피해자 환경에 침투하려 한다. 공격의 표적은 다양하며, 특정 산업군이나 지역을 따로 노리는 것으로 보이지 않는다고 한다.
VPN을 노리는 가장 기본적인 방법은 ‘비밀번호 분사(password spaying)’라고 불리는 것이다. 비밀번호 분사 공격이란, 공격자들이 여러 개 계정들에 아무 비밀번호를 마구잡이로 대입하는 것을 말한다. 주로 디폴트 비밀번호나 사용자들이 자주 설정하는 비밀번호를 대입한다. 그렇게 해서 하나라도 맞아 떨어지면 해당 VPN에 정상적으로 로그인할 수 있게 된다.
원격에서 VPN으로 회사 네트워크에 안전하게 접속하려면 보안에 취약한 디폴트 비밀번호를 버리고 강력한 것으로 대체하거나 한번 사용하고 버리는 일회성/휘발성 같은 동적인 보안 솔루션인 일회용 인증키(One-Time Auentication key) 같은 2차 인증(추가 인증) 솔루션을 적용하여 VPN의 비밀번호 분사 공격을 방어해야 한다. .
VPN의 비밀번호 분사 공격 방어하기 위해서는 2,3 단계의 과정을 더 거치게 되기 때문에 번거롭고 복잡하다는 생각을 할 수도 있다.
그러나 이러한 보안과정이 해킹이나 정보 유출로부터 자신의 정보를 안전하게 지켜줄 수 있다.
그래서 "최신 기술"들은 복잡하고 번거로운 과정을 조금 더 간단하고 쉬우면서도 안전하게 개인의 정보를 지킬 수 있도록 하기 위한 방법으로 발전하고 있다.
처음부터 완전한 보안 시스템은 없으며, 느슨한 구성으로 시작해서 더 견고한 보안 시스템으로 진화하는 것이 매우 중요하다.
간편성과 편리성을 내세우면 보안은 그만큼 허술하며 그 댓가는 혹독할 것이다.
날로 지능화되는 사이버 공격에 대응하기 위하여 무엇 보다도 정보자산에 대한 보안 인식의 대전환이 필요한 시기다.
무엇보다도 2차 인증(추가 인증)에 사용되는 일회용 인증키(One-Time Auentication key)는 본인이 소유하고 있는 일회용 인증키 생성 매체을 사용해서 본인이 직접 일회용 인증키를 생성하여 본인이 직접 입력해야 그나마 정보 보안 사고를 예방할 수 있는 최선책이다.
"아무 것도 신뢰하지 않는다" = "아무도 믿지 마라" = "계속 검증하라"