> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
“기업 70%, 암호화 공격에 무방비”
A10네트웍스, 고성능·유연성 높은 SSL 가시성 솔루션 필요…규제준수·클라우드 지원 확인해야
2019년 08월 14일 10:33:46 김선애 기자 iyamm@datanet.co.kr

[데이터넷] 암호화 트래픽이 전체 인터넷 트래픽의 85%를 차지하고 있으며, 사이버 공격의 70%는 암호화 트래픽을 이용할 것으로 예상된다. 기업의 70%는 암호화 공격에 무방비 상태인 것으로 나타났다.

A10네트웍스는 14일 암호화 트래픽 처리 문제를 해결하기 어려운 현실을 설명하면서 ‘SSL/TLS 복호화 솔루션 도입 시 고려해야 할 6가지 항목’을 정리했다.

“공격 70%, 암호화 트래픽 사용할 것”

A10네트웍스에 따르면 전체 인터넷 트래픽 중 암호화 트래픽은 85%에 이르며, 구글 크롬 브라우저에서 HTTPS 프로토콜이 호출되는 비율이 90%, 파이어폭스에서는 75%에 이른다. 또한 사이버 공격의 70% 이상이 전송 매커니즘으로 SSL/TLS 암호화를 사용할 것으로 예측했다.

암호화 트래픽은 보안 솔루션이 복호화 해 검사해야 하는데, 기존 보안 솔루션은 성능저하와 장애 문제로 암호화 트래픽을 바이패스한다. 공격자는 이를 이용해 공격도구를 암호화 해 유입시키거나 내부 기밀정보를 암호화 해 유출한다.

암호화 공격에 대응하기 위해서는 보안 제품이 암호화 트래픽에 대해 통찰력을 갖도록 해야 하며, 암호화 트래픽을 복호화 한 후 보안 솔루션에 보내 보안 검사를 수행할 수 있어야 하며, SSL/TLS 복호화(이하 SSL 가시성) 솔루션이 이 기능을 제공한다.

   

다양한 암호화 알고리즘·고강도 키 환경 지원

최근 SSL/TLS에서 타원곡선암호화(ECC)와 같은 새로운 암호화 알고리즘이 사용되는가 하면 키 길이도 점점 더 길어져 2048비트는 물론이고 2096비트 키를 사용해 암호화 강도를 높이고 있다. SSL 가시성 솔루션은 다양한 암호화 알고리즘을 처리할 수 있어야 하고, 고강도 암호화 키 환경에서도 속도저하 없이 처리할 수 있어야 한다.

취약하거나 권장되지 않은 암호화에 대해 더 강력한 암호화로 재협상 하는 기능을 제공해야 하며, 고정된 포트번호(TCP443)가 아닌 임의의 포트번호를 사용하는 SSL/TLS 트래픽에 대해서도 복호화 하고, 다양한 프로토콜(HTTPS, SCP, sFTP, SSH, SMTP, STARTTLS 등)에 대해서도 복호화 할 수 있어야 한다.

규제준수 요건 만족

개인정보보호법, EU GDPR 등 보안 관련 규제 준수를 위해 개인·금융정보 등 민감한 정보는 복호화 하지 말아야 한다. 회사의 지적재산을 보호하기 위해 복호화 하지 못하도록 해야 하는 경우도 있다.

SSL 가시성 솔루션은 자동화된 URL 분류 서비스를 이용해 웹 트래픽을 분류한다. 웹트래픽을 분류하게 되면 개인정보가 포함된 트래픽을 암호화된 상태로 유지하도록 특정사이트에 대한 통신을 바이패스 시킬 수 있다. URL 범주를 기반으로 트래픽을 필터링해 알려진 유해한 웹 사이트 액세스를 차단한다.

유연한 클라우드 및 보안 제품 지원

오피스365, 드롭박스, 지 스위트 등 SaaS 서비스 중에서는 데이터 유출 방지를 위해 SSL 복호화 하지 않을 것을 권장하기도 한다. SSL 가시성 솔루션은 SaaS와 비SaaS 트래픽을 구분해 정책을 적용해야 한다.

트랜스페어런트 프록시와 브라우저에 구성된 익스플리시트(Explicit) 프록시를 지원해야하며, 지능적인 트래픽 스티어링 기능을 통해 보안장치 성능을 최적화하고 복잡한 네트워크 아키텍처를 지원할 수 있다.

주요 보안제품들과의 통합. SSL/TLS 복호화 제품의 상호 운용성을 테스트해 선택한 제품이 다른 보안 솔루션들과 원활하게 작동하는 지 검증해야 한다. 다양한 보안 솔루션들과의 통합은 전체적인 비용을 줄이고 여러 솔루션을 배치해야 하는 필요성을 줄인다.

극대화된 성능 제공

보안 제품에 장애가 발생할 경우 위협 요소가 감지되지 않고 업무상 중요한 작업을 수행할 수 없어 매출 손실 및 브랜드 손상을 초래할 수 있다. 그러나 네트워크 트래픽 위협 분석은 많은 자원을 사용한다. 특히 차세대 방화벽은 방화벽 역할 뿐 아니라 IPS, URL 필터링 및 바이러스검사와 같은 여러 보안기능이 통합돼 있어 SSL 복호화 시 성능이 크게 떨어질 수 있다.

SSL 가시성은 이러한 네트워크 보안 솔루션의 성능을 향상시키고 로드 밸런싱으로 보안 제품의 효율성을 높인다. 문제가 발생한 보안 장치를 탐지하고 라우팅해 네트워크 다운타임을 방지한다.

안전한 SSL 인증서·키 관리

SSL/TLS 복호화 제품은 SSL 인증서와 키를 안전하게 관리해야 한다. SSL 인증서와 키관리에 문제가 발생하면 공격자가 암호화된 트래픽을 스누핑하고 데이터를 도용할 수 있습니다.

SSL 키와 인증서를 보호하기 위한 하드웨어 레벨의 제어 기능을 제공해야 하며, 타사 SSL 인증서 관리 솔루션과 통합해 인증서 검색과 카탈로그, 추적, 중앙제어를 지원해야 한다. FIPS 140-2 레벨2 및 레벨3 인증 및 하드웨어 보안모듈(HSM)을 사용하는 것이 좋다.

관리 편의성 제고

SSL 가시성 솔루션은 쉽게 배포하고 관리할 수 있어야 한다. 대부분의 복호화 제품은 구성과 관리가 복잡해 쉽게 배포할 수 없다. 신속하게 구축하고자 할 때 더 많은 문제가 발생할 수 있다.

암호화 트래픽을 관리할 때 효율적이고 정확한 정보에 입각한 의사 결정을 내릴 수 있도록 사용하기 쉬운 형태로 분석기능을 제공해야 한다. 실시간 분석은 암호화된 트래픽의 이상징후와 위협에 대한 깊은 통찰력을 제공한다.

SIEM 등의 써드파티 제품을 통해 네트워크 장치를 통과하는 트래픽 대한 통찰력을 확보할 수 있다. 지리적으로 분산된 여러 구축환경으로 확산됨에 따라 단일 중앙 위치에서 관리 및 분석 기능을 제공하는 ‘단일 창’ 솔루션이 필요하다.

한편 A10네트웍스의 SSL 가시성 솔루션 ‘A10 SSL 인사이트’는 SSL/TLS 분석을 위해 필요한 요구사항을 만족하며 0.5Gbps를 지원하는 엔트리레벨부터 25Gbps까지 확장 가능한 하이엔드 레벨까지 다양한 환경을 만족시키는 제품군을 제공한다. 

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  A10네트웍스, SSL 가시성, 규제준수, 클라우드, SSL/TLS
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석 | 호스팅 사업자: (주)아이네임즈
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr