[웹방화벽 ④] 차세대 웹방화벽, SSL 가시성 확보 ‘관건’
상태바
[웹방화벽 ④] 차세대 웹방화벽, SSL 가시성 확보 ‘관건’
  • 김선애 기자
  • 승인 2016.08.09 15:05
  • 댓글 0
이 기사를 공유합니다

SSL 악용 트래픽 늘어나며 SSL 암복호화 중요…성능저하 없는 SSL 가시성 확보가 핵심

웹이 최악의 보안홀로 지목되면서 웹방화벽이 재조명되고 있다. 차세대로 전환하는 웹방화벽은 지능형 공격 방어, HTML5/HTTP 2.0의 새로운 기능 지원, 성능 저하 없는 웹 서비스 보장, 관리 편의성 제고 등의 다양한 기술을 요구하고 있다. 또한 클라우드 보안 서비스(SECaaS)로도 제공돼 온프레미스/퍼블릭·프라이빗 클라우드/하이브리드 환경에서 웹 서비스를 보호할 수 있는 전략이 모색된다.<편집자>

인-아웃바운드 암복호화, 차세대 웹방화벽 관건

‘차세대 웹방화벽’에 대해 업계에서 공유하는 정확한 정의가 있는 것은 아니지만, SSL 가시성을 보장하는 것은 핵심적인 요소로 꼽힌다.

SSL 가시성 기능은 예외처리가 빈번하게 발생하고, 인증서와 키관리가 쉽지 않아 운영이 쉽지 않다.

암호화된 트래픽은 서버에서 복호화해 명령을 수행해야 하며, 서버에서 복호화 키와 인증서를 관리한다. 웹방화벽이 SSL을 복호화한다면 서버 대신 키와 인증서를 가져와서 트래픽을 분석해야 하는데, 일부 웹서비스에서는 웹방화벽의 SSL 복호화 시도를 공격으로 간주하고 차단한다. 드롭박스와 같이 고유의 사설 인증서를 사용하는 서비스는 인증이 거부돼 서비스가 차단된다. 모든 SSL 트래픽을 복호화 할 수 있는 것도 아니며, 금융정보와 같은 예외처리 항목이 다수 발생해 관리가 어렵다.

복호화는 CPU 집약적인 업무로, 리소스를 과다하게 사용한다는 점이 가장 해결하기 어려운 문제다. SSL 복호화 기능을 탑재하면 네트워크 보안장비는 80% 이상 성능이 저하돼 실제 성능의 10%~20% 밖에 사용하지 못한다. APT 방어 솔루션은 인증서와 키를 관리하지 않기 때문에 복호화된 트래픽을 검사하지 못한다.

인바운드 트래픽 뿐 아니라 아웃바운드 트래픽도 복호화가 필요하다는 점도 걸림돌이다. APT 공격은 악성코드가 시스템에 침투한 후 외부 C&C 서버와 통신해 페이로드를 받아들이고 정보를 유출하는 방식으로 이뤄지며, 모든 통신은 암호화해 보안 시스템이 탐지하지 못하도록 한다.

즉 악성코드가 침투할 때와 페이로드가 다운될 때 인바운드 트래픽과 C&C 서버와 통신하고 정보를 유출하는 아웃바운드 트래픽 모두 분석할 수 있는 기능이 필요하다. 대부분의 SSL 가시성 기능은 인바운드 트래픽만을 복호화하기 때문에 완전한 가시성이 확보된다고 볼 수 없으며, 인/아웃바운드 복호화가 필요하다.

▲SSL 가시성을 확보하지 못하는 기존 웹방화벽의 문제(자료: 파이오링크)

“웹 기반 공격 절반, 암호화 통신 악용”

신기욱 F5 상무는 “SSL 가시성이 보안 분야의 화두로 떠오르면서 SSL 복호화 전용 솔루션이 출시되고 있지만, 네트워크에 보안 장비를 추가하는 것은 오히려 보안 취약점을 높일 수 있다”며 “SSL 트래픽은 웹을 통해 유입/유출되므로 웹방화벽에서 복호화하고 분석해 관리 복잡성을 줄일 수 있다. 앞으로 웹방화벽은 성능저하 없이 인/아웃바운드 복호화를 제공하는 웹방화벽이 필요하게 될 것”이라고 말했다.

SSL 가시성을 확보하는 것이 차세대 웹방화벽의 핵심 기능으로 지목되는 것은 암호화 트래픽이 급증하고 있기 때문이다. 암호화 트래픽은 2015년 전체 트래픽의 25%를 차지하고 있으며, 2017년에는 절반 가량 트래픽이 암호화 될 것으로 예상된다. 높은 보안수준이 요구되는 정부기관은 70% 이상, 금융거래는 모두 암호화 통신을 사용할 것으로 전망된다.

암호화 통신이 늘어나면서 이를 악용한 공격도 증가한다. 가트너는 2017년 기업 네트워크에 대한 공격의 50% 이상이 보안을 우회하는 SSL을 사용할 것으로 예측했다.

윤동규 파이오링크 웹방화벽 PM은 “금융권, 포털, SNS 등 인터넷 서비스에서 SSL 사용이 늘어나면서 가시성 확보가 중요한 요건이 되고 있다”며 “웹방화벽에 SSL 가시성 기능을 요구한 것은 올해부터 시작되고 있으며, 내년에는 본격적으로 경쟁이 시작될 것으로 보인다. SSL 가시성을 확보하기 위해서는 웹방화벽이 인증서와 키를 대신 관리해야 하고, 웹서비스 성능에 영향을 주지 않아야 하기 때문에 쉽게 구현할 수 있는 기술은 아니다”고 말했다. 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.