네트워크 트래픽 암호화 증가에 따른 SSL/TLS 복호화 및 검사가 늘어나고 있지만 대부분 기업에서 이의 전략적인 활용에 어려움을 겪고 있는 것으로 나타났다.

블루코트코리아(대표 김기태 www.bluecoat.co.kr)는 본사에서 이러한 내용을 담은 ‘네트워크 암호화 증가에 따른 기업 보안 전략(Network Encryption and its Impact on Enterprise Security)’ 보고서를 발표했다고 밝혔다.

블루코트가 시장조사기관 ESG(Enterprise Strategy Group)과 함께 북미 지역 기업 보안 담당자 150여명을 대상으로 조사한 이 보고서에 따르면 응답 기업의 87%는 전체 네트워크 트래픽의 최소 25%를 암호화하고 있으며, 특히 25%는 이미 전체 네트워크 트래픽의 75% 이상을 암호화한 것으로 나타났다. 또한 향후 2년 이내에 트래픽 암호화의 비중을 늘릴 것인지에 대한 질문에는 56%가 “상당히 늘릴 계획이다”, 32%는 “어느 정도 늘릴 것이다”, 9%는 “암호화를 포함한 보안 전략 개발을 구상하고 있다”라고 응답해 거의 모두가 네트워크 트래픽 암호화 비중을 늘릴 것으로 조사됐다.

<그림>2년 이내에 트래픽 암호화의 비중을 늘릴 것인가?

출처: Enterprise Strategy Group, 2015

네트워크 암호화를 도입하는 이유로는 ‘보안 강화’가 42%로 가장 높았으며, ‘서버 간 트래픽 보호’가 41%를 차지했다. 이 밖에 ‘컴플라이언스 대응’이 37%, ‘자체 개발 웹 애플리케이션 보호’가 33%로 나타났다.

네트워크 암호화가 보안 강화의 수단으로 인식되고 있지만 보안 전문가들은 암호화가 악성 공격의 수단이 되고 있음을 지적했다. 사이버 범죄조직 및 해커들이 암호화 된 채널을 내부 망 정찰, 멀웨어 배포, 커맨드-앤-컨트롤 트래픽 생성 등에 악용하고 있으며, 악성 활동을 암호화시킴으로써 암호화 되지 않은 패킷만을 대상으로 패킷 필터링, 트래픽 검사, 지능형 방어 등을 제공하는 전통적인 보안 툴을 우회하기 때문이다.

암호화된 SSL/TLS 트래픽 검사를 통해 확인하고자 하는 보안 위협 중 가장 큰 비중을 차지하는 부분은 ‘신뢰하는 사이트에 심어진 악성 콘텐츠’가 43%로 조사됐고, ‘의심스러운/악성 코드가 심어진 은폐 파일 및 스크립트’, 그리고 ‘민감 데이터 유출’이 각각 40%를 차지했다. 이와 함께 ‘웹사이트에서 제공하는 의심스러운 SSL/TLS 인증서’가 38% ‘피싱 공격’이 36%로 그 뒤를 이었다.

<그림> 암호화된 SSL/TLS 트래픽 검사를 통해 확인하고자 하는 보안 위협

출처: Enterprise Strategy Group, 2015

그러나 대다수의 보안 담당자들이 SSL/TLS 트래픽 복호화 및 검사 작업 시 운영 및 기술적인 어려움을 겪고 있는 것으로 나타났다. 실제로 응답 기업의 20%만이 종합적인 보안 전략을 바탕으로 암호화된 SSL/TLS 트래픽 검사를 실시하고 있으며, 나머지 80%는 암호화 트래픽 여부를 판단하는 정도로 필요에 따라 전술적인 측면에서만 검사를 실시하고 있는 것으로 나타났다.

암호화된 SSL/TLS 트래픽 검사를 전략적으로 수행하기 어려운 원인은 조직적인 부분, 기술, 프로세스, 데이터 프라이버시 이슈 등이 꼽혔다. ‘다양한 패킷 필터링 기술과 SSL/TLS 암호화/복호화를 통합하기 어렵다’라는 대답이 26%로 가장 높은 비중을 차지했고, ‘주요 서비스에 대한 네트워크 성능 및 트래픽 문제를 일으킬 수 있는 가능성에 대한 우려’가 24%로 그 뒤를 이었다. 이와 함께 ‘보안팀과 네트워크팀간 협업의 어려움,’ ‘SaaS 서비스 사용으로 인한 보안 정책 설정 및 규정 준수의 복잡성,’ ‘SSL/TLS에 대한 세부적인 기술 이해도 부족’이 22%로 조사됐다.

ESG는 암호화된 SSL/TLS 복호화 및 검사를 전략적으로 활용할 수 있는 접근전략을 제시했다.

▲고성능의 목적형 SSL/TLS 암호화 ‘서비스’ 활용: 필요에 따라 산발적인 SSL/TLS 복호화 기술을 사용 하는 경우 운영상의 과부하를 일으킬 뿐만 아니라 네트워크 프록시에 복잡성을 더하고, SSL 인증서 관리에 어려움을 겪게 된다.

이러한 병목 현상을 줄이기 위해서는 목적성(purpose-built) 기술을 바탕으로 중앙 허브 방식의 ‘서비스’ 형태로 SSL/TLS 복호화 기술을 적용해야 한다. 이를 통해 정책 관리, 인증서 관리, 구성 관리, 리포팅 등의 기능을 중앙 집중형의 커맨드-앤-컨트롤에 따라 적용시킬 수 있기 때문이다. 또한 데이터센터 및 네트워크 시스템을 위한 고성능 어플라이언스, 혹은 원격지 운영을 위한 소형/가상 어플라이언스, IaaS/SaaS/PaaS 네트워크 보호를 위한 클라우드 기반 가상 어플라이언스 등 다양한 환경에서의 복호화 운영이 가능하다.

▲보안 툴을 통한 멀티-레이어 통합: 트래픽이 복호화된 후 SSL/TLS 복호화 아키텍처에서는 심층 콘텐츠 검사를 위해 NGFW, IDS/IPS, 멀웨어 분석, 보안 분석 등 다양한 보안 툴을 트래픽을 전송하게 된다. 미들웨어 브릿지 형태의 중앙 집중형 복호화는 기존 보안 인프라를 유지하며 확장 가능한 적응형 암호화 트래픽 관리 솔루션을 추가할 수 있다.

특히 보안 분석 툴에서 개별 트래픽을 검사하는 동시에, 마스터 분석 엔진을 통해 전체 네트워크 보안 분석 툴 및 서비스 상에서 발견된 위협 요인들의 연관 관계를 파악할 수 있다.

▲치료 자동화: 자동화를 기반으로 기업 보안 전략을 구상하는 경우 SSL/TLS 복호화 및 검사가 고속의 디바이스 및 네트워크에 적용되어 실시간에 가까운 성능을 보장할 수 있다.

이를 위해서는 CISO가 네트워크 엔지니어 및 아키텍트와 협업해 자동화된 네트워크 보안 체제를 구축해야 한다. 예를 들어, 지능형 멀웨어를 탐지하기 위해 네트워크 포렌식, 엔드포인트 포렌식 툴을 사용하는 경우, 사이버 공격을 입은 PC에서 암호화 된 파일의 업로드를 시도할 때 네트워크 상에서 이를 자동으로 차단하고 새로운 IDS/IPS 시그니처 및 방화벽 정책을 생성하여, 향후 유사한 접근을 사전에 막을 수 있어야 한다.

<박시현 기자> pcsw@bikorea.net