[보안특집⑤] ‘암호화’ 맹신은 금물
상태바
[보안특집⑤] ‘암호화’ 맹신은 금물
  • 김선애 기자
  • 승인 2015.12.29 09:50
  • 댓글 0
이 기사를 공유합니다

공격 지능화되며 암호화 중요성 높아져…암호화 악용 공격 새로운 위협으로 부상

2015년 정보보안 시장은 그야말로 ‘다사다난’했다. 한국수력원자력 해킹 사고가 2014년 말부터 2015년 초까지 보안시장을 뜨겁게 달구더니 랜섬웨어 공격이 무차별적으로 진행되면서 큰 피해를 양산해냈다. 핀테크·IoT 시대의 본격적인 개화로 새로운 공격에 대한 경고가 이어지는가 하면, 실제로 금융기관이 해킹을 당하고, 스마트카 해킹이 가능하다는 사실이 입증돼 대량의 리콜 사태가 벌어지기도 했다. 2015년을 뜨겁게 달군 정보보안 업계의 이슈를 종합해본다.<편집자>

2015년은 ‘암호화’를 재해석해야만 하는 한 해가 될 것으로 보인다. 암호화는 데이터를 보호하기 위한 가장 높은 수준의 보안 기술로, 암호화 키가 없으면 풀리지 않는다. 암호화의 이러한 특징을 이용한 ‘랜섬웨어’ 공격이 유행하면서 막대한 피해를 발생시켰다. 랜섬웨어 공격자들은 데이터나 시스템을 암호화 한 후 돈을 송금해야 복호화 할 수 있는 키를 보내준다. 돈만 받고 복호화 키를 보내지 않는 ‘먹튀’도 상당하다.

보안 전문가들은 랜섬웨어 피해를 입는다 해도 공격자에게 돈을 송금하지 말 것을 당부하지만, 피해를 입은 당사자들은 데이터와 시스템을 포기할 수 없는 상황이기 때문에 어쩔 수 없이 돈을 보내게 된다.

암호화 트래픽 이용 공격도 증가

암호화된 트래픽을 이용한 공격도 꾸준히 증가하고 있다. 인터넷 트래픽을 중간에 탈취해 데이터를 유출하지 못하도록 SSL 등 암호화 트래픽을 사용하는 경우가 늘어나고 있는데, 암호화된 트래픽에 악성코드를 숨겨 유입시키는 공격도 증가하고 있다.

원칙적으로 암호화 트래픽은 복호화 한 후 유해요인이 있는지 검사한 후 네트워크 내부로 유입되는 것을 승인해야 한다. 그러나 암호화 트래픽을 복호화하는데 시간이 걸리기 때문에 대부분의 경우 암호화 트래픽은 보안 조사를 하지 않고 승인하는 경우가 대부분이다. 이 점을 악용해 공격자들이 악성코드를 암호화 트래픽에 숨겨 유입시켜 보안장비의 탐지를 우회한다.

블루코트는 ‘2016년 보안시장 전망’ 보고서를 통해 “오피스365, 구글 드라이브, 드롭박스 및 박스 등과 같은 서비스가 점점 늘어나고 있는 가운데 이를 악용하는 해커들의 시도도 증가하고 있다. 이러한 서비스들은 무료 가입이 가능하고 무료로 SSL을 제공하며, 일반적으로 차단되는 사이트에 해당되지 않아 해커들에게 유용하게 사용할 수 있기 때문”이라고 설명했다.

이어 이 보고서에서는 “프라이버시 담당자는 전체 사이트를 암호화하는 시도를 계속할 것이며, 암호화 된 트래픽은 보안 컨트롤이 미치지 않는 사각 지대를 지속적으로 생산하게 된다. 잘 보이는 곳에 숨겨진 멀웨어가 암호화 된 트래픽 및 채널과 통신함으로써 암호화 된 네트워크 전체에 위협을 가하게 될 것”이라고 지적했다.

(자료: 블루코트)

“모든 곳을 암호화하라”

암호화의 특징을 악용한 공격이 성행한다고 해서 암호화를 거부해서는 절대 안된다. 암호화는 보안의 기본이며, 특히 정보유출이 쉬운 IoT 환경에서는 모든 데이터에 대한 암호화가 절대적으로 필요하다.

시만텍의 보고서에서는 “‘모든 곳을 암호화하라(Encrypt everywhere)’는 말은 IT 업계에서 하나의 주문(mantra)이 되고 있다. 인터넷과 같이 불안전하고 취약한 네트워크에서 인간과 시스템 간에 많은 커뮤니케이션과 교류가 이루어지고 있는 가운데, 오고 가는 데이터에 대한 강력한 암호화가 필요하다는 것은 오랫동안 인지돼 왔고, 일반적으로 암호화가 도입되고 있다”고 설명했다.

암호화가 만병통치약은 아니며, 허술한 암호화는 오히려 보안홀로 전락할 수 있다. 암호화 기술은 공개된 표준 알고리즘을 사용하기 때문에 암호화를 적용하면 일정한 수준의 보안성을 보장할 수 있다. 그러나 키관리가 제대로 이뤄지지 않으면 암호화 데이터와 키가 함께 유출돼 데이터를 암호화 한 의미가 없어진다.

핀테크·IoT, 종단간 암호화 필수

암호화는 IoT와 핀테크를 위한 인증에도 중요하게 사용된다. 인증정보를 암호화해 보관하고, 인증이 수행될 때 마다 인증값을 서버에 보내 인증을 요청하는 과정에서 암호화 기술이 반드시 필요하다. 이 때에도 키관리는 매우 중요한 요소가 된다.

IoT에서는 인증에 필요한 암호화·키관리 기술을 제공하는 보안칩이 효과적인 기술로 제안된다. 강력하게 암호화된 초소형 하드웨어 칩에 암호인증과 키값을 보관하는 보안칩은 IoT 기기 제조사에게 필수적인 제품으로 자리잡게 될 것으로 예상된다.

시만텍 보고서는 “IoT와 모바일을 위한 신규 기기와 애플리케이션에 암호화가 허술하게 구축됨녀서 취약점을 이용해 공격자들이 통신 데이터에 접근할 수 있게 됐다. 예를 들어 대다수 사람들의 일상에서 모바일 기기는 통신이나 데이터 저장, 일반적인 기술 활용에 사용되면서 중요한 부분을 차지하게 됐고, 범죄자에게는 높은 가치가 있는 목표물이 됐다”며 “이 때문에 모바일 OS 제조사는 자사 제품의 암호화 수준을 지속적으로 개선하고 있다. 반면, 암호화가 사용자의 데이터를 사이버 공격으로부터 보호하는 데 도움이 되지만, 법 집행에 있어서 장애물이 된다고 생각하는 정부 입장에서는 불만이 높아지고 있다”고 설명했다. 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.