![[사진자료] △ SK쉴더스 사이버보안 관제센터](https://newsimg.sedaily.com/2025/05/02/2GSN4K451U_1.jpg)
올해 1분기 동안 VPN 장비를 노린 해킹 사고가 폭증하면서, 기업의 보안 체계에 경고등이 켜졌다. SK쉴더스는 2025년 분기 전체 해킹 사고 중 53.4%가 VPN 장비의 취약점을 악용한 공격으로 나타났다고 밝혔다.
팬데믹 이후 VPN 장비 사용이 급증하면서, 해커들은 이를 조직 침투의 초기 경로로 적극 활용하고 있다. VPN은 원격 접속과 데이터 암호화를 위해 필수적으로 사용되는 만큼, 공격 성공 시 피해 범위가 광범위해진다. 문제는 단순한 크리덴셜(자격증명) 탈취를 넘어, 보안 시스템을 우회하고 탐지되지 않는 고도화된 방식으로 진화하고 있다는 점이다.
기존 VPN 공격은 주로 직원의 ID와 비밀번호 등 크리덴셜(자격 증명)을 탈취한 뒤, 이를 이용해 VPN에 접속하고 내부 시스템에 악성코드를 심거나 시스템을 교란시키는 데 목적이 있는 단발성 공격 형태가 일반적이었다.
최근에는 VPN 장비의 취약점을 직접 악용하거나 계정을 확보한 뒤 침투해, 정상 프로그램(상용 프리웨어 도구)인 척 위장한 악성프로그램을 심는 방식으로 장기간 은닉하며 데이터를 유출하는 정교한 지속형 공격(APT)으로 진화하고 있다.
실제 해커들은 파일질라(FileZilla), 윈SCP(WinSCP), 알클론(Rclone), HFS 같은 파일 전송 소프트웨어와, 애니데스크(AnyDesk), 팀뷰어(TeamViewer), 울트라VNC(UltraVNC) 같은 원격 제어 소프트웨어의 정상적인 확장자를 사용하는 악성 소프트웨어가 피해자의 시스템에서 운영되도록 했다.
문제는 이러한 프로그램은 일상적인 업무에서도 널리 쓰이는 도구이기 때문에, 대부분의 보안 시스템은 이를 ‘정상적인 활동’으로 인식해 악성 행위로 탐지하지 못한다. 이를 통해 해커는 피해자의 시스템에 둥지를 틀고, 장기간에 걸쳐 내부 자료를 외부로 유출하는 정밀한 침투 행위를 벌인다.
시스코, 주니퍼, 체크포인트와 같은 대표적인 벤더뿐 아니라 이반티, 소닉월, 포티넷 등의 장비도 주요 공격 대상이 되고 있다. 각 장비의 취약점이 공개되자 해커들은 이를 악용해 기업 내부망에 침투하고 있다.
특히, 장비의 패치를 미루거나 보안 설정을 소홀히 한 기업의 경우 해커의 첫 번째 표적이 되기 쉽다. 침투 이후에는 내부망을 이동하며 추가 시스템으로 확장하고, 랜섬웨어 설치, 데이터 유출, 금전적 협박 등의 피해로 이어질 수 있다.
국내 최다 침해사고 분석 및 대응 경험을 보유한 SK쉴더스의 Top-CERT는 VPN 장비의 취약점을 악용한 해킹 공격을 대비하기 위해 주기적인 보안 패치 모니터링, VPN 접근 제어, 멀티팩터 인증 강화, 상용 프리웨어 탐지 및 차단 등 주요 4가지 대응 방안을 제시했다.
실제로 SK쉴더스는 해커들이 사용하는 상용 프리웨어 도구를 ▲파일 압축 ▲원격 접속 ▲파일 전송 등 기능별로 분류하고, 이를 EDR 시스템에 반영해 탐지 체계를 고도화하고 있다. 이 경우 해커의 활동을 지속적으로 모니터링하고 추적해, 해킹 사고를 조기에 예방할 수 있다.
기업 내부망 침입은 단 한 번의 VPN 취약점으로 시작될 수 있다. VPN 보안은 선택이 아닌 필수이며, 특히 탐지되지 않는 행위를 걸러낼 수 있는 실전형 탐지 기술이 핵심이다.
SK쉴더스 관계자는 “고도화된 VPN 해킹에 선제적으로 대응하기 위해선 보안관제를 넘어, 침입 탐지부터 실시간 대응까지 아우르는 통합적인 보안 체계가 필수적”이라고 강조했다.
SK쉴더스는 물리보안과 사이버보안 역량을 동시에 갖춘 통합 보안 사업자다. 국내 대표 물리보안 브랜드 ADT캡스를 운영하고 있으며, 사이버보안 영역에서는 보안관제, 컨설팅, 모의해킹, 침해사고 대응, 클라우드 등 다양한 서비스를 제공하고 있다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
