기업용 VPN 앱도 취약하다

인증 쿠키를 암호화하지 않았다

외근이나 재택 근무처럼 회사 외부에서 회사 내부에 있는 네트워크에 안전하게 접근하려면 VPN 사용은 필수다. 그런데 VPN을 구동하는 프로그램들이 기본적인 보안 수칙도 지키지 않은 취약점을 갖고 있음이 밝혀졌다. 주로 개인용 VPN 서비스를 제공하는 앱들의 신뢰성이 바닥을 치고 있는 것에 더해, 네트워크 및 보안 분야의 거대 기업들까지 엉성한 면모를 드러냈다.

최근 CERT의 보고서에 따르면, 시스코, 팔로 알토 네트웍스, Purse Secure, F5 Networks 등 대기업의 VPN 앱이 세션 쿠키를 안전하지 않게 저장했다.

Session cookie는 정당한 사용자임을 증명하는 표식으로, 흔히 토큰이라고 불린다. 이것을 해커가 훔쳐가면, 다른 인증 수단을 우회하여 VPN에 접근할 수 있다. 즉 조직 내부 네트워크에 접속하여 도용된 사용자의 권한으로 이용할 수 있는 것이다.

문제된 앱들은 세션 쿠키를 암호화하지 않은 채, 로그 파일이나 메모리에 저장했다. 따라서 PC를 해킹하거나 악성코드를 사용하여 세션 쿠키를 탈취한 후, 나중에 아무 때나 재사용할 수 있다(session replay).

이번 보고서에서 모든 기업용 VPN 앱을 조사한 것은 아니다. 그러나 연구팀은 이런 식의 허술한 처리 방식이 널리 퍼져 있을 것으로 추측했다.


관련 자료

참고 자료

댓글

이 블로그의 인기 게시물

엑셀 필터 상태에서 복사와 잘라내기

가정에서도 망 분리를 해보자

잉크젯 프린터 전원은 항상 켜 놓아야 좋다