2024-11-04 13:45 (월)
VPN 무차별 대입 공격 막는 시스코 ASA와 FTD의 새로운 보안 기능
상태바
VPN 무차별 대입 공격 막는 시스코 ASA와 FTD의 새로운 보안 기능
  • 길민권 기자
  • 승인 2024.10.28 17:35
이 기사를 공유합니다

시스코(Cisco)가 최근 적응형 보안 장치(ASA)와 파이어파워 위협 방어 시스템(FTD)에 VPN 무차별 대입 공격과 패스워드 스프레이 공격을 차단하는 새로운 보안 기능을 추가했다. 이러한 기능은 비인가 접속 시도를 차단하여 침해 위험을 줄이고, 장치의 자원 사용량도 절감하는 효과를 제공한다.

무차별 대입과 패스워드 스프레이 공격은 서로 다른 방식으로 사용자 인증 정보를 무단으로 확보하려는 시도이다. 무차별 대입 공격은 단일 계정을 대상으로 다양한 비밀번호를 시도하지만, 패스워드 스프레이 공격은 흔한 비밀번호를 여러 계정에 동시에 시도해 방어 체계를 회피하려 한다.

지난 4월 시스코는 ASA와 FTD 등 다양한 네트워킹 장치의 VPN 계정을 대상으로 무차별 대입 공격이 급증했다고 보고했다. 이로 인해 VPN 인프라, 특히 원격 접속 VPN(RAVPN) 서비스가 활성화된 환경이 공격에 취약함을 드러냈다.

이를 대응하기 위해 시스코는 ASA와 FTD 시스템에 세 가지 새로운 기능을 도입하여 비정상적인 인증 시도를 모니터링하고 차단하는 기능을 추가했다. 초기 테스트 이후, 시스코는 이 기능을 모든 소프트웨어 버전에 제공하며, 이를 사용해본 초기 사용자들은 VPN 공격 시도가 대폭 감소했다고 전했다. 일부 네트워크 관리자들은 하루 수십만 건의 실패 시도가 단 하루 만에 수백 건으로 줄어들었다고 밝혔다.

■ VPN 무차별 대입 공격 방어 기능

이 기능들은 시스코의 위협 탐지 서비스의 일부로, 공격자들이 주로 사용하는 여러 공격 행동을 차단한다:

반복된 인증 실패 시도: 무차별 대입 공격을 탐지해 IP 주소를 차단하여 사용자 이름 및 비밀번호 스캔 공격을 중단한다.

클라이언트 연결 시도 공격: 공격자들은 종종 여러 차례 VPN 연결을 시도한 후 완료하지 않음으로써 장치 자원을 소모시키고, 궁극적으로 서비스 거부(DoS) 상태를 유발한다. 클라이언트 연결 시도 방어 기능은 이러한 패턴을 보이는 IP를 차단해 자원 소모를 방지한다.

잘못된 VPN 접근 시도: 장치의 내부 기능을 위해 사용되는 터널 그룹에 접근하려는 시도를 차단한다. 정상적인 VPN 클라이언트는 이러한 터널 그룹을 대상으로 하지 않기 때문에 모든 연결 시도는 자동으로 차단된다.

이러한 보호 기능은 ASA와 FTD의 명령줄 인터페이스(CLI)에서 특정 명령을 통해 구성할 수 있다. 관리자는 차단 시간인 "hold-down"과 해당 시간 동안 차단 기준이 되는 시도 횟수인 "threshold" 값을 설정할 수 있다.

예를 들어, 관리자는 다음 명령을 사용할 수 있다:

threat-detection service remote-access-authentication hold-down 10 threshold 20

이 명령은 10분 동안 20번의 실패 시도를 기록한 IP 주소를 차단해 공격자들이 VPN 접근을 무차별하게 시도하는 것을 방지한다.

이 보안 기능을 사용하기 위해서는 ASA와 FTD 장치가 지원되는 소프트웨어 버전을 실행 중이어야 한다:

-ASA 소프트웨어 버전 9.16(4)67, 9.17(1)45, 9.18(4)40, 9.19(1).37, 9.20(3) 이상

-FTD 소프트웨어 버전 7.0.6.3, 7.2.9, 7.4.2.1, 7.6.0 이상

이들 버전은 시스코의 최신 VPN 방어 기능을 제공해 VPN 접근을 무차별 대입하는 공격에 대해 포괄적인 보호를 제공한다. 관리자는 이를 사용하려면 시스템을 확인하고 필요시 최신 버전으로 업데이트해야 한다.

이 기능을 사용해 본 일부 관리자는 무차별 대입 공격 감소에 성공했다고 보고했지만, 일부 환경에서는 소폭의 성능 저하를 경험하기도 했다. 한 관리자는 클라이언트 연결 시도 방어 기능에서 일시적인 오탐이 발생했으나, hold-down과 threshold 값을 권장 설정으로 조정한 후 정확성이 크게 향상됐다고 밝혔다. 시스코는 이러한 설정이 추가적인 처리 능력을 요구하므로 장치 구성과 트래픽 부하에 따라 성능 변화가 있을 수 있다고 전했다.

한 경험 많은 관리자는 IP 주소를 주기적으로 검토할 수 있도록 매주 자동으로 차단된 IP 주소를 해제하는 스크립트를 온라인에 공유하기도 했다. 이러한 자동화는 높은 트래픽 환경에서도 시스템 효율성을 유지하는 데 도움이 된다.

시스코의 새로운 VPN 무차별 대입 방어 기능은 네트워크 보안에 실질적인 개선을 가져왔으나, 관리자는 전체 보안 체계를 고려해 MFA와 정기적인 장치 모니터링을 포함하는 등의 추가 조치를 통해 방어 체계를 구축할 필요가 있다.


◆2024 인공지능 보안 컨퍼런스 AIS 2024 개최(보안교육 7시간 이수)◆

-인공지능 기반 보안기술과 보안위협 대응 정보 공유-

-공공, 금융, 기업 정보보호 담당자 700여명 참석예정-

-일 시: 2024년 11월 5일(화) 09:00~17:00

-장 소: 더케이호텔서울 2층 가야금홀

-주 최: 데일리시큐

-참석대상: 정부, 공공, 금융, 기업 정보보호 담당자만 참석 가능(보안과 관련없는 자는 참석 불가)

-참가기업 모집: 국내외 인공지능, 보안자동화 기반 보안전문기업

-참가문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com

-참석자 사전등록: 클릭

(사전등록 필수, IT보안 관계자만 참석가능)

★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★