SSL은 네트워크 전송구간의 데이터를 보호하기 위한 암호화 기술로, 20여년 전 부터 사용돼 왔으며, 현재 절반 이상의 웹 트래픽이 SSL로 보호되고 있다. 그러나 SSL은 보안취약점이 종종 발견되고 이어 완벽하게 안전한 기술이라고 할 수 없으며, 암호화 트래픽에 악성코드를 숨겨 유입시키는 지능형 공격도 등장하고 있어 SSL 트래픽의 보안위협을 차단하는 것도 필수적인 요소가 됐다.<편집자>
웹에서 사용되는 모든 트래픽을 암호화 할 필요는 없다. 모든 트래픽에 보호해야 할 기밀정보가 포함돼 있는 것은 아니기 때문이다. 또한 모든 암호화 트래픽을 복호화 하는 것도 불가능하다. 예를 들어 기밀이 보장돼야 하는 금융거래정보는 복호화하지 않고 서버로 곧바로 들어가 처리될 수 있어야 한다. 반면 이메일, SNS는 모든 트래픽의 가시성을 확보해 공격 요소가 있는지 살펴봐야 한다.
F5네트웍스의 기술백서 ‘SSL 에브리웨어’에서는 “모든 보안의 경계에서 SSL 복호화가 이뤄져야 하지만, 대부분의 보안 솔루션이 SSL 복호화에 맞게 개발되지 않았으며, 일부는 복호화 기능을 수행하지 못한다”며 “SSL 트래픽 최적화 처리를 통합하는 경계를 디자인해야 한다. 레이어 7 보안 디바이스 성능을 극대화하기 위해서 SSL 복호화와 분석이 가능한 솔루션이 필요하다”고 말했다.
F5의 빅IP는 풀 프록시 아키텍처로 성능저하를 최소화한 암복호화를 제공한다. SSL 세션 해제 기능으로 IT는 외부에서 트래픽 암호화를 쉽게 사용할 수 있으며, 필요 시 구HTTP 활용할 수 있다. 모든 연결이 가능할 것이며 HTTP2.0의 혜택을 활용하기 위해 전체 웹 애플리케이션 인프라를 해제하거나 대체할 필요가 없다.
암호화 트래픽의 복호화는 최근 웹방화벽이나 차세대 방화벽 장비에서 성능개선을 통해 제공하고 있다. 파이오링크 웹방화벽 ‘웹프론트-K’는 전용 하드웨어 가속기를 사용해 성능저하 없이 RSA 2048 bit key 암호화되 복호화 해 웹 트래픽의 가시성을 확보해준다.
포티넷, 팔로알토네트워크 등 차세대 방화벽 솔루션은 자체 내장된 SSL 복호화 기능을 한층 향상시켜 성능저하를 최소화한 복호화 기능을 제공한다. 이들은 차세대 방화벽에서 트래픽을 복호화 한 후, 차세대 방화벽, IPS, QoS, AV 등 여러 보안 모듈을 거치면서 분석한 후 이상이 없을 때 트래픽을 허용하는 프로세스를 택하기 때문에 효율적으로 암호화 트래픽을 처리할 수 있다고 주장한다.
오경 포티넷코리아 이사는 “포티넷은 특히 ASIC 방식을 사용해 SSL 복호화가 이뤄지는 CPU 부하를 최소화한다. 포티넷 ASIC은 CPU와 네트워크 세션관리(NP), 콘텐츠 스캐너(CP)의 3개로 구성돼 있으며, 포티넷이 직접 설계하기 때문에 포티게이트가 제공하는 모든 기능에 최적화해 구성할 수 있다. 따라서 SSL 복호화 시 CPU에 과도한 부하를 주지 않고 처리할 수 있어 성능저하를 최소화하고 장애 없이 지원할 수 있다”고 설명했다.
SSL 분석 효율성 높이기 위해 복호화 전용장비 필요
기존 보안 장비들이 성능저하 없는 SSL 복호화가 가능하다고 강조하지만, 실망에서 성능저하는 피할 수 없으며, 성능저하를 최소화하기 위해서는 최고사양 장비를 도입해야 하기 때문에 비용부담이 커진다. 또한 모든 장비가 복호화를 수행한다면 복호화-암호화를 반복하게 돼 효율성이 떨어진다는 문제도 발생한다.
이를 해결하기 위해 ‘SSL 가시성’ 솔루션이 제안된다. SSL 가시성 솔루션은 네트워크 혹은 웹의 앞단에서 암호화된 트래픽을 복호화 한 후 네트워크·보안 장비가 트래픽을 분석하도록 한 후 다시 암호호화 해 내부로 유입시킨다. 트래픽을 한번만 복호화 해 분석하기 때문에 성능저하를 최소화 할 수 있으며, 복호화와 암호화만을 전문으로 제공하기 때문에 여러 장비의 복호화 기능을 사용하는 것 보다 비용이 저렴하다.
이재혁 아라기술 대표는 “복호화는 CPU 리소스를 많이 소모하기 때문에 기존 네트워크·보안 장비에 복호화 기능을 활성화하면 성능문제가 발생할 수 밖에 없다. 여러 네트워크 장비에서 복호화를 하면서 장비 리소스를 소모하고, 트래픽 처리 속도를 지연시키면 네트워크 속도가 전반적으로 떨어지게 된다”며 “SSL 가시성 솔루션을 이용하면 보다 효율적으로 SSL 복호화를 수행할 수 있다”고 설명했다.
