[SSL 가시성①] 보이지 않는 것은 보호할 수 없다
상태바
[SSL 가시성①] 보이지 않는 것은 보호할 수 없다
  • 김선애 기자
  • 승인 2017.12.06 11:43
  • 댓글 0
이 기사를 공유합니다

암호화 공격 늘어나며 SSL 가시성 솔루션 주목…금융·제조 기업 수요 늘어

‘보이지 않는 것은 보호할 수 없다’는 말은 SSL/TLS 암호화 통신에도 동일하게 적용된다. 각종 공격도구들은 암호화 돼 유입되며, 중요정보 역시 암호화 해 외부로 불법 유출된다. SSL/TLS 통신은 복호화 한 후 보안장비에서 분석해 이상 없을 때에만 송/수신 돼야하기 때문에 SSL 가시성을 확보해주는 전용 솔루션의 수요가 늘어나고 있다.<편집자>

“APT 80% 암호화 트래픽 사용”

SSL/TLS 암호화 프로토콜 비중이 일반 기업의 경우 30%~50%, 금융기관은 80% 이상을 차지하고 있다. 금융기관과 정부기관, 의료기관은 가장 강력한 암호화 알고리즘을 사용하는 암호화 통신을 사용하기도 한다. 이러한 사이트는 암호화 키 사이즈가 2048을 넘어 4196까지 올라가는 높은 수준의 암호화 통신을 채택하기도 한다.

암호화 통신은 통신구간의 데이터를 보호해 개인정보·중요정보가 노출되지 않도록 보호하지만, 공격에 이용된다는 부작용도 있다. 공격자들은 타깃 시스템에 침투한 후 C&C 통신으로 암호화된 페이로드를 받으며, 중요정보를 수집한 후 암호화해 빼낸다. 대부분의 보안 장비가 암호화 통신은 복호화해 분석하지 않는다는 사실을 악용하는 것이다.

가트너가 분석한 바에 따르면 APT 공격의 80%가 암호화 트래픽을 사용하고 있으며, 전체 공격의 50%가 암호화 트래픽으로 진행된다. 그러나 보안장비가 암호화 통신을 복호화하는 비율은 20%도 되지 않는다.

수산INT가 자사 솔루션을 사용하는 고객의 트래픽을 분석한 결과 올해 상반기 전체 트래픽에서 암호화 트래픽이 차지하는 비중은 기업 76%, 학교 64%, 공공기관 48%의 비중을 보였다. 수산INT와 협력하고 있는 멀웨어즈닷컴, 망고스캔의 자료를 분석한 결과, HTTPS 기반 악성코드가 9만3000개가 수집됐다. 구글 독스, 지메일, SSL 기반 드라이브 바이 다운로드, SSL 통신하는 C&C, 소셜 미디어를 이용한 공격과 정보유출 등의 유형으로 나타났다.

▲2017년 상반기 HTTPS 기반 악성코드 URL 수집 통계(자료: 수산아이앤티)

SSL 복호화 전용 솔루션 수요 증가

암호화 통신을 이용한 공격이 늘어나면서 일부 APT 방어 시스템 구축 사업에서는 암호화 트래픽을 복호화 하는 기능을 추가하는 추세를 보이고 있다. 방화벽, IPS, 웹방화벽, DLP 등에서 암호화 트래픽을 복호화한 후 분석하는 기능을 지원하고 있지만, 복호화 하는데 리소스가 과다하게 사용되기 때문에 보안장비 성능이 10%까지 떨어진다는 문제가 있다.

현재 보안 솔루션은 SSL 가속기를 추가하면서 복호화 성능을 높이고 있지만, 모든 장비마다 각각 트래픽을 복호화 한 후 분석하고 다시 암호화해 보내는 작업을 반복하고 있어 전체 성능이 떨어지고 리소스가 낭비된다는 지적이 있다.

암호화 트래픽을 복호화 할 때는 복호화를 수행하는 서버에 인증서와 복호화 키가 있어야 하는데, 일부 사이트에서 사용하는 사설인증서는 보안 장비가 웹서버 대신 복호화하는 것을 차단하기도 하며, 높은 수준의 암호화 알고리즘을 지원하지 않는 환경도 있다.

암호화된 트래픽 중에서는 복호화 해서는 안 되는 것도 있는데, 예를 들면 인터넷뱅킹시 금융정보는 복호화해서는 안된다. 트래픽 중에서 암호화 트래픽을 선별하고, 그 중에서 복호화 해서는 안되는 트래픽을 다시 골라내는 기술도 필요하다.

이러한 문제를 해결하기 위해 등장한 제품이 SSL 가시성 솔루션이다. 암호화된 트래픽을 한 번 복호화 한 다음 보안장비에서 위협 요소가 있는지 분석하게 한 후 정상 트래픽은 다시 암호화 해 들여보내는 제품이다.

이 솔루션은 2013년 블루코트(현 시만텍)이 인수한 네트로놈이 대표적인 제품으로, 전 세계 금융기관의 대다수가 네트로놈 제품을 사용했다. 블루코트가 2014년부터 자사제품화해 사업을 시작했으며, 실제로 본격적인 시장 개화는 올해부터라고 볼 수 있다.

경쟁자 늘어나며 치열해지는 SSL 가시성 시장

SSL 가시성 솔루션 수요가 많은 곳은 금융기관이다. 금융기관을 노리는 공격은 쉼없이 발생하고 있으며, 공격에 성공할 경우 금융사와 고객이 막대한 피해를 입기 때문에 암호화 트래픽으로 지능적으로 유입되는 공격을 막아야 한다는 수요가 높다.

기밀정보 유출을 막아야 할 대형 제조사들도 SSL 가시성 제품 수요가 높다. 블루코트 제품군은 보안웹게이트웨이(SWG)의 오랜 충성스러운 제조기업들에 SSL 가시성 제품을 추가 공급하면서 시장을 만들어내기도 했다.

본격적으로 시장이 개화되자 여러 기업들이 잇달아 시장에 뛰어들었다. 블루코트가 선구자의 역할을 하고 있으며, 아라기술이 캐싱기술을 기반으로 한 SSL 가시성 솔루션을 만들어 블루코트 대항마를 자처했다. 수산아이앤티가 8월 이 사업을 인수해 자사의 유해사이트 차단/SWG와 연계하는 제품으로 경쟁력을 높이고있다.

F5네트웍스, A10네트웍스 등 ADC 기업들은 애플리케이션과 로드밸런싱 기술을 앞세워 SSL 가시성 기술의 차별점을 강조하고 있다.

토종 기업 중 모니터랩이 자체 개발한 프록시 기술을 특장점으로 한 솔루션을 발표하고 공공·금융·교육기관을 중심으로 성과를 내고 있으며, 아라기술 출신 인사들이 합류한 엔토빌소프트에서도 솔루션을 출시하고 고객 확보에 나섰으며, 소만사는 자사 DLP 제품의 앞에 설치하는 전용 복호화 장비를 출시하고 자사 제품의 보안성을 높이고 있다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.