“‘https’, 만능은 아니다…암호화 트래픽 가시성 확보해야”
상태바
“‘https’, 만능은 아니다…암호화 트래픽 가시성 확보해야”
  • 김선애 기자
  • 승인 2017.02.13 18:12
  • 댓글 0
이 기사를 공유합니다

구글 “크롬, http 보안 경고 정책 유지”…암호화 트래픽 숨은 위협 찾을 수 있어야

구글이 https를 채택하지 않은 홈페이지에 대해 ‘안전하지 않은 곳’이라는 경고 메시지를 띄우는 정책을 유지하고 있어 혼란이 계속 이어질 것으로 보인다.

암호화된 SSL/TLS 트래픽을 사용하는 https는 현재 국내에서도 50% 가량의 사이트에 적용돼 있다. 금융서비스와 로그인 등 개인정보가 입력되는 페이지, 결제 정보 등 금융관련 정보가 입력되는 페이지는 https가 적용돼 있으며, SSL을 적용하는 사이트는 빠른 속도로 늘어나고 있다.

아직까지는 모든 웹사이트에 SSL을 적용하지 않고 있는데, 암호화 트래픽을 복호화하는데 소요되는 시간이 오래 걸리고, SSL 서버 구축 비용도 상당한 부담이 되기 때문이다. 그러나 트래픽을 암호화하지 않으면 트래픽의 중요한 정보를 탈취당하거나 중간자 공격을 당할 수 있다.

SSL로 보안 취약점 높아져

SSL이 만병통치약은 아니다. 오히려 SSL로 인해 보안 취약점이 높아진다는 점도 주목해야 한다. 암호화된 트래픽은 보안 장비에서 복호화 해 분석하지 않는다. 복호화는 CPU 집약적인 업무로 리소스가 과다하게 필요하며, 인증서 관리도 어렵기 때문이다. 보안 장비가 암호화 트래픽을 복호화 할 때 성능이 90% 이상 떨어지는 경우도 있다. 10G 장비가 1G 성능도 내지 못한다는 뜻이다.

이를 이용해 공격자들은 악성코드를 암호화 트래픽에 숨겨 유입시키거나, 음란물, 피싱 등의 유해사이트를 SSL로 서비스하고, 해커가 SSL 세션을 통해 내부에 침투하는 공격도 발생한다. 중요정보를 암호화해 외부로 유출하는 것도 보안 장비가 막지 못한다.

사용자 PC에 토르가 설치되고, 이를 이용해 악성 페이로드가 설치되며, 중요정보가 나가는 것을 막을 수 없다. 웹서버에 DDoS 공격을 하면서 SSL을 사용해 DDoS 방어 장비를 무력화 하고, SSL 사용한 서버 취약점 공격으로 권한을 탈취하기도 한다.

까다로운 인증서 관리

SSL 복호화 시 인증서 관리는 매우 어려운 문제다. SSL 트래픽을 복호화하기 위해서는 해당 사이트에서 발행한 인증서를 브라우저가 인증해야 하며, 사용자 브라우저에는 신뢰할 수 있는 인증서가 저장돼 있다. 보안 장비가 SSL을 복호화 할 때 인증서를 웹서버 대신 받아 SSL 트래픽을 복호화 한 후 분석해야 한다.

전용 앱을 통해 접속하는 경우, 혹은 드롭박스와 같이 고유의 사설 인증서를 사용하는 경우 보안 장비가 인증서를 가져오지 못하고 복호화를 할 수 없게 된다. 이러한 경우 복호화를 하지 않고 예외처리를 해야 하는데, 많은 보안 시스템에서 수많은 예외를 관리하는 것도 어려운 일이다.

보안 장비들은 SSL 가속카드를 추가하거나 복호화 전용 프로세스를 별도로 구축하는 등의 방법을 사용해 SSL 처리시 속도 저하를 없애도록 한다. SSL 복호화 전용 솔루션을 구입하는 방법도 제안된다. ‘SSL 가시성’이라고 불리는 이 제품은 트래픽을 복호화 한 후 보안 시스템에서 분석하도록 전달한다. 솔루션 중에서는 분석 완료된 트래픽을 다시 암호화 해 내부에서의 정보유출까지 차단한다.

▲SSL 가시성 솔루션 프로세스(자료: 블루코트코리아)

SSL 가시성 솔루션은 2013년 블루코트가 전문기업 네트로놈을 인수하고 ‘SSL 가시성(VA)’ 제품을 출시하면서 본격적으로 시장이 만들어지기 시작했다. 블루코트 SSL VA는 프록시를 이용하지 않는 복호화 전용장비이며, 프록시 기반 트래픽은 보안웹게이트웨이(SWG)인 ASG에서 분석하고, 그렇지 않은 트래픽은 SSL VA가 분석해 모든 프로토콜을 지원한다.

토종 솔루션 중에서는 아라기술의 ‘SSL 프리즘’이 캐시 전문 기술 기반의 고성능 제품을 선보인다. 이 제품은 TST 방식의 복호화 전문 엔진으로 높은 성능을 유지하면서 보안에 필요한 기술을 제공할 수 있다.

수산INT는 SWG 솔루션 ‘이워커시큐리티’와 연동되는 ‘이워커 SSL(eWalker SSL)’을 출시하고 시장 공략에 나섰다. 이 제품은 암호화 데이터를 복호화하며, HTTPS 암호화 사이트를 해독하고, ICAP를 통한 소프트웨어 연동과 구글 서비스 선별 제어와 실시간 서버 모니터링 기능을 제공한다.

모니터랩은 특화된 ‘트랜스페어런트 프록시’ 기술을 이용한 ‘AISVA’를 공급한다. 이 제품은 프로토콜 지원 제한이 없으며, 기존 보안 시스템 구조에 영향을 끼치지 않고 구성할 수 있다. 엔토빌소프트의 ‘넷크립토(NetCrypto)’도 시장에서 존재감을 드러내기 위해 많은 노력을 기울이고 있다. 이 제품은 풀 트랜스패어런트 패킷 구조와 자동 바이패스 기능으로 비표준 암호화 트래픽에 대응한다.

아웃바운드 트래픽도 복호화해 보안 강화

암호화 트래픽은 내부로 유입되는 트래픽 분석 뿐 아니라 외부로 나가는 트래픽까지 분석해야 한다. 대부분의 SSL 가시성 솔루션은 유입되는 트래픽을 복호화 한 후 보안 장비에서 분석하도록 했으며, 외부로 나가는 트래픽을 분석하지는 않는다. 아웃바운드 트래픽은 보안 정책에 위배되는 중요한 정보가 포함돼 있을 수도 있고, C&C 통신을 위한 트래픽일수도 있다. 아웃받운드 트픽 분석으로도 심각한 공격을 막을 수 있다.

F5의 ‘SSL 오케스트레이터(Orchestrator)’는 인바운드는 물론 아웃바운드 트래픽까지 지원하며, 선택한 트래픽만으로 복호화해 민감한 금융정보 등은 함부로 열어보지 않도록 할 수 있어 데이터를 보호하면서 성능을 최적화 할 수 있다.

A10네트웍스는 다중 암호화와 검사 기능을 특장점으로 내세우는 ‘썬더 SSL 인사이트(SSLi)’로 국내 시장을 공략한다. 이 제품은 48Gbps까지 SSL검사 성능을 제공하며, ECDHE, PFS 등 다중 암호화 트래픽을 복호화하고, 다중 검사를 지원한다. 보안 인프라의 규모를 변경할 수 있는 빌트인 부하 분산 기능이 탑재돼 있으며, URL 분류 및 필터링과 APT 방어 서비스를 추가할 수 있다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.