구글은 크롬을 통해 접속하는 사이트 중 SSL이 적용되지 않으면 주소창에 ‘안전하지 않음’이라는 표시를 하고 있다. 모든 웹사이트에 SSL을 적용시켜 웹 환경을 안전하게 보호하기 위한 것이다.
SSL은 TCP/IP 통신을 암호화해 전송구간의 데이터를 안전하게 지킬 수 있는 보안 프로토콜로, 현재 웹사이트의 절반 이상이 SSL을 적용한 것으로 분석되고 있으며 내년에는 기업 내 암호화 트래픽이 80%를 넘을 것으로 예상된다.
그러나 SSL이 적용됐다고 해서 모두 다 안전한 것은 아니다. SSL로 암호화된 트래픽에 악성코드가 숨어있을 수 있으며, 공격자들이 개인정보·중요정보를 SSL로 암호화해 전송함으로써 내부보안 솔루션을 우회해 성공적으로 정보를 유출하는 방법으로도 사용된다.
박호철 모니터랩 팀장은 “현재 80%의 APT 공격이 암호화 트래픽을 사용하는 것으로 파악되고 있다. 클라우드 기반 보안 서비스(SECaaS) 기업 지스케일러는 매일 평균 60만건의 암호화된 악의적인 활동을 차단한다고 보고한 바 있다”며 “새로운 악의적인 페이로드가 C&C 활동을 위해 암호화 트래픽을 사용하는 것으로 나타나고 있다”고 설명했다.
“보안 시스템, 20%만 복호화 분석 진행”
박호철 팀장은 8일 서울 삼성동에서 열린 ‘제 17회 차세대 보안 비전 2018’에서 “암호화 트래픽을 이용한 공격이 증가하고 있지만, 보안 장비는 20%만이 완전하게 암호화 트래픽을 분석할 수 있다”며 “특히 높은 수준의 암호화를 적용한 보안 트래픽은 보안 솔루션의 성능저하를 이유로 분석하지 못하고 있으며, ECC와 같은 암호화 알고리즘은 지원하지 않는 보안 솔루션이 대다수”라고 지적했다.
박 팀장은 이날 행사에서 A트랙 두번째 세션 ‘암호화 트래픽에 의한 보안 사각지대’ 주제의 발표를 통해 암호화 트래픽의 가시성을 확보하는 것이 시급하다고 역설했다. 암호화 트래픽을 복호화하는 전용 장비인 SSL 가시성 솔루션이 그 대안으로 부상하고 있으며, 네트워크 시스템과 보안 시스템, 로그 수집 서버 등의 복호화 기능 부담을 줄이고 모든 트래픽을 분석할 수 있도록 도와준다.
SSL VA, 네트워크 구성 변경 없이 안정적으로 운영
SSL 가시성 솔루션은 네트워크에 인라인으로 구축되며, 인/아웃바운드 트래픽 중 SSL 트래픽을 복호화 해 네트워크·보안 장비, 로그 수집 서버 등으로 보낸다. 이 장비들이 보호화된 트래픽을 분석해 이상이 없다고 판단되는 것은 가시성 서버로 보내 다시 암호화 한 후 내부 시스템으로 보내게 된다.
SSL 가시성 솔루션은 TLS 1.3, HTTP/2 등 최신 암호화 통신 기술을 지원할 수 있어야 하며, 써드파티 솔루션과의 연동, 예외처리, 인증서 자동배포 등의 기능이 필수적으로 요구된다. 비동기 네트워크, 트래픽 경로 배정, 논 트랜스페어런트 프록시 장비 등 다양한 네트워크 환경에서도 장애 없이 구동돼야 하며, 실제 업무 시스템에 적용했을 때 성능저하 없이 운영될 수 있어야 한다.
모니터랩의 특화된 프록시 기술을 기반으로 설계된 ‘AISVA’는 이와 같은 요건을 만족시키는 솔루션으로, 실제 업무 네트워크에서도 장애 없이 안전하게 구동될 수 있으며, 다양한 써드파티와 연동을 지원한다. 이 제품은 조달등록을 완료하고 공공 시장 점유율을 빠르게 높여가고 있으며, 다양한 고객사에 도입돼 기술력과 안정성을 입증 받았다.
