VPN 1개가 뚫려 2,695만 건이 유출됐다. SKT 사례로 매핑한 VPN 공격 체인과 ZTNA가 각 단계를 차단하는 원리.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
Gartner 조사에 따르면 글로벌 기업의 65%가 VPN을 ZTNA로 교체할 계획이라고 답했다. 그런데 아직도 대부분의 한국 기업은 VPN에 의존하고 있다. 2025년 SKT 유심 해킹의 침투 경로가 바로 Ivanti VPN 취약점이었다. 로그인 한 번이면 내부망 전체가 열리는 VPN의 구조적 결함이 2,695만 건의 가입자 정보를 유출시킨 것이다.
공격자가 VPN을 노리는 이유를 이해하려면 침투 이후 무슨 일이 벌어지는지를 봐야 한다. SKT 사건의 공격 체인을 MITRE ATT&CK으로 매핑하면 이렇다.
T1190 — 초기 침투: Ivanti Connect Secure의 버퍼 오버플로우 를 익스플로잇했다. VPN 게이트웨이는 인터넷에 직접 노출되므로, 취약점 하나로 내부망 진입이 완료된다.
T1078 — 유효 계정 탈취: VPN 어플라이언스에 내장된 , 으로 내부 네트워크를 정찰하고 LDAP 서버를 식별했다. 여기서 서비스 계정 자격증명을 확보하면, 이후 모든 내부 이동이 "정상 직원 활동"으로 보인다.
T1021 — 횡적 이동: 탈취한 계정으로 SMB 파일 공유와 RDP를 통해 서버 간 이동했다. VPN 인증을 통과한 세션은 내부 방화벽에서 신뢰 트래픽으로 취급되므로, IDS가 탐지하지 못한다.
T1005 → T1041 — 데이터 수집 및 반출: HSS(홈 가입자 서버)의 인증 데이터베이스에서 IMSI 2,695만 건을 수집하고 외부 C2 서버로 반출했다.
핵심은 T1190에서 T1041까지 VPN이 제공하는 flat network access 덕분에 추가 익스플로잇 없이 도달했다는 점이다. VPN의 "한 번 인증하면 내부망 전체 신뢰" 모델이 횡적 이동의 비용을 제로로 만든 것이다.
SKT만의 문제가 아니다. VPN 어플라이언스 취약점은 국가급 APT가 가장 선호하는 초기 침투 벡터다.
Fortinet CVE-2024-21762 — 중국 APT Volt Typhoon이 FortiOS SSL VPN의 원격 코드 실행 취약점을 악용해 미국 통신, 에너지, 교통 인프라에 침투했다. CISA·NSA·FBI 합동 경보가 발령됐다. CVSS 9.6.
Ivanti CVE-2025-22457 — Ivanti가 "익스플로잇 불가"로 분류한 취약점을 중국 APT UNC5221이 패치 diff를 역공학해 우회했다. 메모리에만 상주하는 악성코드 TRAILBLAZE를 배포해 디스크 기반 포렌식을 완전히 회피했다.
공통 패턴: VPN 게이트웨이 CVE → 인증 전 RCE → 내부망 flat access → 횡적 이동 → 데이터 탈취. 벤더가 달라도 공격 체인은 동일하다. VPN의 구조적 문제이기 때문이다.
SK쉴더스 집계에 따르면 2025년 1분기 해킹 사고의 절반 이상이 VPN 장비 취약점을 경유했다.
초기 침투 벡터는 여러 가지다. 스피어피싱, 공급망 공격, 워터링홀, 그리고 VPN 취약점. 공격자가 VPN을 선택하는 이유는 투자 대비 수익률이 압도적이기 때문이다.
스피어피싱은 타깃 1명의 클릭이 필요하다. 그 1명이 클릭하지 않으면 실패다. 공급망 공격은 수개월의 준비 기간이 든다. 반면 VPN 취약점은 CVE 공개 후 PoC가 나오면 자동화 스캔으로 수천 대의 미패치 장비를 동시에 타격할 수 있다. 피싱이 저격소총이라면, VPN 익스플로잇은 그물이다.
게다가 VPN은 침투 후 추가 비용이 거의 없다. 피싱으로 직원 1명의 PC를 장악하면 거기서부터 권한 상승과 횡적 이동에 추가 익스플로잇이 필요하다. VPN은 침투 즉시 내부망 전체가 열린다. 한 단계가 줄어드는 것이 공격자에게는 탐지 위험이 한 단계 줄어드는 것을 의미한다.
ZTNA(Zero Trust Network Access)는 VPN의 공격 체인을 여러 지점에서 차단한다.
T1190 차단 — 게이트웨이가 없다. ZTNA는 SDP(Software-Defined Perimeter) 기반이다. 앱과 서비스가 인터넷에 노출되지 않으므로 포트 스캔에도 잡히지 않는다. 공격할 표면 자체가 사라진다.
T1078 억제 — 계정만으로 부족하다. ZTNA Controller가 SSO + MFA + 디바이스 보안 상태(백신 설치, OS 패치 수준, 디스크 암호화)를 동시 검증한다. 자격증명을 탈취해도 디바이스 조건이 미달하면 접근이 차단된다.
T1021 차단 — 횡적 이동이 불가능하다. VPN은 네트워크 레벨 접근이라 모든 서브넷이 열린다. ZTNA는 앱 레벨 접근이라 승인된 앱 하나만 보인다. SMB 공유, RDP 포트, 다른 서버는 존재 자체를 모른다.
ZTNA가 VPN보다 구조적으로 우월하지만, 만능은 아니다. 공격자는 이미 우회 방법을 찾고 있다.
세션 토큰 탈취: ZTNA 인증을 통과한 세션의 토큰을 엔드포인트에서 탈취하면, 공격자가 해당 세션을 그대로 사용할 수 있다. 이건 T1528(Steal Application Access Token)과 동일한 기법이다. ZTNA가 세션을 발급한 이후의 문제이므로 EDR과의 연동이 필수다.
디바이스 포스처 우회: 공격자가 엔드포인트를 먼저 장악하고 보안 소프트웨어 상태를 조작하면, ZTNA Controller는 "정상 디바이스"로 판정한다. 최근 Scattered Spider가 IT 헬프데스크를 사칭해 직원 디바이스에 RMM 도구를 설치한 뒤 ZTNA 인증을 통과한 사례가 있다.
내부자 위협: 적법한 자격증명과 정상 디바이스를 가진 내부자가 허가된 앱을 악용하면 ZTNA로는 탐지할 수 없다. UEBA(사용자 행동 분석)를 병행해야 한다.
레거시 호환 불가: 현대 인증 프로토콜을 지원하지 않는 OT/IoT 장비에는 ZTNA 에이전트 배포 자체가 불가능하다. 공장, 병원, 발전소 환경에서는 여전히 VPN이나 별도 네트워크 분리가 필요하다.
이 문제들은 이론이 아니다. Gartner는 2025년까지 ZTNA 도입 기업의 25%가 12개월 내 VPN 병행 운영으로 회귀할 것으로 예측했다. 가장 큰 원인이 레거시 시스템 호환 실패다. ZTNA를 도입했다가 핵심 업무 시스템이 작동하지 않아 긴급 롤백하는 사례가 반복되고 있다.
2025년 9월, 국정원이 N2SF 가이드라인 1.0을 공개했다. 18년간 유지된 물리적 망분리 일률 정책이 기밀망·민감망·개방망 3등급 체계로 전환된다. 260개 보안 통제 항목 중 핵심 기반 기술이 제로트러스트다.
2026년 3월, KT가 SD-WAN 서비스 Flexline에 ZTNA를 결합한 상용 서비스를 출시했다. 접근 시마다 AI 검증을 수행하고, 단말 보안 상태에 따라 정책을 자동 차등 적용한다. 과기정통부는 2025년 제로트러스트 R&D에 100억 원을 투입했다.
정책과 기술은 준비됐지만 현장의 장벽은 다르다.
같은 ZTNA라도 조직의 상황에 따라 접근이 완전히 다르다.
중소기업(50~300명) — VPN 어플라이언스를 직접 관리할 보안 인력이 없다면, ZTNA SaaS 전환이 오히려 운영 부담을 줄인다. KT Flexline처럼 통신사가 관리하는 서비스를 쓰면 패치 지연 문제 자체가 사라진다. 전환 기간 3~6개월, VPN 즉시 폐기 가능.
금융권·공공기관 — N2SF 등급 분류가 먼저다. 기밀망은 ZTNA + 망분리 병행, 민감망은 ZTNA 단독, 개방망은 기존 VPN 유지도 가능하다. 규제 요건 충족이 우선이므로 12~18개월 단계 전환이 현실적이다.
제조·OT 환경 — ZTNA 에이전트를 설치할 수 없는 레거시 장비가 핵심이다. IT 영역만 ZTNA로 전환하고, OT 네트워크는 물리적 분리를 유지하는 이중 구조가 불가피하다. VPN 완전 폐기는 장비 교체 주기(5~10년)에 맞춰야 한다.
VPN은 "안에 들어오면 신뢰한다"는 전제 위에 세워졌다. 그 전제가 틀렸다는 걸 SKT 2,695만 건이 증명했다. 제로트러스트는 그 전제를 뒤집는다 — 아무도 신뢰하지 않고, 매번 증명하게 한다. 전환의 문제가 아니라 시기의 문제다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.