간편한 인증서 관리 지원…프록시 엔진 AI 소켓으로 네트워크 품질 관리
[데이터넷] 전체 인터넷 트래픽 중 암호화 트래픽이 63%에 달하며, 대규모 서비스를 제공하는 웹 사이트뿐 아니라 중소규모 웹 사이트에도 HTTPS가 적용돼 있다. 암호화 트래픽이 폭발적 으로 증가하면서 이를 이용한 공격도 급증하고 있다.
공격도구를 암호화 해 유입시키거나 중요 정보를 암호화 해 유출하면서 보안 장비가 탐지하지 못하게한다. 암호화 트래픽 가시성을 확보하기 위해 모니터랩은 SSL 가시성 솔루션 ‘AISVA(Application Insight SSL Visibility Appliance)’를 공급한다. 이 솔루션은 암호화 트래픽으로 인해 발생하는 위협을 제거하기 위해 SSL/TLS 트래픽을 복호화해 네트워크 보안 시스템, IDS, 로그 수집 서버 등에 전달한다. 암호화 트래픽에 대한 완전한 가시성을 제공해 암호화로 숨은 보안위 협을 제거한다.
실 사용환경 성능 중요
SSL 가시성 솔루션은 연동된 다양한 보안솔루션에 가시성을 제공하기 위해 네트워크 구성의 최상단에 위치한다. 데이터센터로 유입되는 암호화 트래픽을 복호화하는 인바운드 구성이나 내부 클라이언트가 외부와 통신하는 암호화 통신을 복호화하는 아웃바운드 구성이 가능하다. 인바운드 구성 시 디도스 방어, IPS, 웹방화벽 등과 연동되며, 아웃바운드 구성 시 차세대 방화벽, APT 방어, DLP 등과 연동된다.
SSL 가시성 솔루션은 데이터센터로 유입되는 모든 트래픽 속에서 암호화 트래픽만 선별해 처 리하므로 초당 패킷 성능(PPS), SSL/TLS 트래픽 처리 성능인 초당 커넥션(CPS), 초당 트랜잭션 (TPS)이 성능을 평가하는데 중요 지표다.
SSL 핸드세이크(Handshake)는 완전한 협상 과정을 거치는 풀 핸드세이크와 기존 협상을 재사용하는 리유즈(Reuse)로 구분된다. 리유즈 세션 처리에 상대적으로 적은 리소스를 소모하지만 행사나 이벤트가 진행되거나 많은 직원이 출근하는 시간에 폭발적으로 풀 핸드세이크 비율이 증가한다.
실제 네트워크 환경에서는 TLS1.0, TLS 1.1, TLS 1.2, TLS 1.3 등 여러 프로토콜 버전과 사이퍼 스위트(Cipher- Suite)로 통신하는 다양한 유형이 존재한다. 정상적인 흐름의 세션만 존재하지 않으며, 어떠한 이유로든 지연이나 유실이 발생할 수 있고, 접속자가 많을수록 비정상적인 흐름의 세션은 비례해서 증가한다.
모니터랩은 15년 동안 축적한 애플리케이션 보안 전문성을 집약한 공통 플랫폼 AIOS(Application Insight OS)를 기반으로, 자사 프록시 엔진 AI 소켓(AI Socket)을 통해 자체 TCP 스택을 구현하고 처리 성능을 극대화한다. 트래픽 급증 상황에도 안정적인 서비스 를 보장한다.
다양한 솔루션 연동위한 상호 운용성 필수
SSL 가시성 솔루션은 암호화 트래픽을 처리하기 위해 세션에 직접 개입하는 프록시 방식으로 구현된다. 세션에 개입하지 않는 스니핑 방식으로 구현하는 경우, 인바운드 트 래픽에 대해 인증서와 개인키를 소유하고 있더라도 RSA 기반의 사이퍼 스위트로 통신하는 세션에 대해서만 복호화가 가능하다.
아웃바운드 트래픽의 경우 외부에 존재하는 서버의 인증서와 개인키를 확보할 방도가 없으므로 복호화 자체가 불가하다. 프록시 방식은 양방향 세션 제어에 오류가 발생하는 경우 서비스 지연, 통신 불가와 같은 직접적인 장애상황으로 이 어질 수 있는 잠재적 리스크를 가진다.
모니터랩 AISVA는 다양한 보안 솔루션들과 원활한 연동을 위해 풀 트랜스페어런트 프록시(Full Transparent Proxy) 방식으로 동작한다. 클라이언트로부터 수신한 원본 트래픽 을 서버로 연결 하는 과정에서 TCP/IP 5-Tuple을 비롯, 원본 패킷의 형상을 완전히 유지해 프록시가 세션에 개입돼 발 생할 수 있는 여러 네트워크 이슈를 최소화하고, SSL 가시성 솔루션이 반드시 갖춰야 할 상호 운용성을 보장한다.
PKP에 대한 신속한 대응 체계 갖춰
SSL 가시성 솔루션은 아웃바운드 트래픽 처리 시 외부에 위치한 서버들의 인증서와 개인키를 획득할 수 없으므로 직접 인증서를 생성해 협상에 사용한다. 이 문제를 해결하기 위해 클라이언트에 사설 루트 CA 인증서 설치를 요구한다.
잘 알려진 브라우저들은 협상 과정에 사용된 인증서가 인증된 루트 CA가 아닌 경우 MITM(Man In The Middle) 공격으로 인지하고 통신을 중단한다. 단말에 해당 인증서가 설치 돼 있는 경우 MITM을 예외적으로 허용한다.
사설 루트 CA 인증서를 설치했더라도 서비스 공급자가 서버와 클라이언트 측 코드를 모두 소유한 경우 보안을 위해 PKP(Public Key Pinning)를 적용했다면 통신은 중단된다. 이를 해결하기 위한 방법은 PKP가 적용된 서비스 트래픽에 대 해 협상에 개입하지 않는, 즉 복호화를 하지 않고 바이패스 하는 방법만이 유일하다.
모니터랩 AISVA는 PKP 적용 트래픽에 대한 신속한 대응을 위해 지속적으로 협상이 실패하는 트래픽을 자가 학습해 선택적으로 자동 바이패스할 수 있는 기능과 자사 위협 인텔 리전스 플랫폼인 AI 클라우드 센터에서 수집 및 가공된 PKP 리스트에 대한 실시간 온라인 업데이트 기능을 제공한다.
