SSL/TLS 암호화 통신이 증가함에 따라 숨겨진 위협도 늘어나고 있다. 이러한 위협에 대응하기 위해 기업은 차세대 방화벽, 침입 방지 시스템(IPS), 안티 멀웨어 기술 및 기타 솔루션들을 사용하고 있으나, 이러한 방법들은 네트워크를 느리게 하거나 복잡성 및 비용을 증가시킬 뿐, 암호화된 트래픽 내부의 멀웨어를 탐지하기 어려운 것이 현실이다.
이에 암호화 된 SSL/TLS 트래픽 관리에 대한 고려사항들에 대한 내용들을 정리해 비용 효율적이면서도 네트워크 보안 인프라 성능을 극대화할 수 있는 방안을 짚어본다.
1. 제한적인 복호화, 데이터 유출 위험 높여
최신 기술의 클라우드 및 모바일 애플리케이션과 지능형 멀웨어는 다양한 종류의 비표준 포트를 사용하는 경우가 많아 SSL/TLS를 사용하는 전통적인 서비스 및 포트인 HTTPS, 웹, 포트 443 트래픽 보다 훨씬 복잡하게 구성되기 마련이다.
그러나 데이터 유출 방지 및 손실 방지(DLP) 솔루션의 경우 SSL/TLS 트래픽 내부의 데이터를 확인할 수 없으므로 높은 리스크를 동반하는 것은 물론 보안 정책 및 컴플라이언스 이슈가 발생할 수 있다.
그러나 암호화 트래픽 관리(ETM: Encrypted Traffic Management) 솔루션은 단순히 암호화된 트래픽을 복호화하는 단순 기능의 솔루션과는 다르게 복잡한 구성 및 정책 셋팅 없이도 포트, 애플리케이션, 서비스에 관계 없이 자동으로 모든 SSL/TLS 트래픽을 확인해 보안 사각 지대를 제거한다.
또한 ETM 솔루션은 지능형 디바이스 피드(URL 카테고리 정보가 포함된 웹DB정보) 기능이 제공해 복호화 되어야할 트래픽과 그렇지 않은 트래픽을 쉽게 설정할 수 있어 효율적으로 적용 대상 트래픽을 구분하여 주요 데이터가 안전하게 전송될 수 있도록 지원한다.
2. 전체 악성 코드 분석 못하는 불완전한 샌드박싱
샌드박스 솔루션과 안티 멀웨어 솔루션은 암호화 된 트래픽을 확인하지 못하므로 SSL/TLS에 숨겨진 멀웨어를 검사하거나 분리시키고, 제거하기 어렵다. 결국 이러한 최신 기술이 반영된 지능형 지속 위협(APT)에 효과적으로 대응하지 못하므로, SSL/TLS 트래픽이 샌드박스 솔루션에 대한 ROI 확보 방해 요인으로 작용하게 된다.
ETM 솔루션은 복호화되거나 암호화되지 않은 트래픽 뿐만 아니라 SSL/TLS 트래픽 및 피드를 모두 탐지하고 제어하는 것이 가능하며, 다양한 보안 디바이스를 지원하여 종합적인 위협 분석 및 방어가 가능하다.
또한 SSL 가시성을 확보함으로써 샌드박스 및 안티-멀웨어 솔루션의 효율성을 배가시켜 APT 공격을 탐지하고 제거할 수 있다. 결과적으로 새로운 수준의 가시성 및 숨겨진 위협 분석을 바탕으로 기존 투자에 대한 ROI를 높일 수 있다.
3. 사이버 공격을 차단 못하는 IPS
대부분의 IDS/IPS SSL/TLS 트래픽을 검사하지 못하므로 최신 트렌드로 구성된 네트워크 상에서 효용성이 떨어지게 된다. 특히 사이버 범죄에 사용되고자 설계된 SSL 기반 커맨드 앤 컨트롤(C&C) 통신이 급증하고 있는 상황에서 IDS/IPS 기술만으로는 악성 멀웨어 및 APT가 포함된 인바운드 및 아웃바운드 트래픽을 식별하는데 한계가 있다.
ETM 솔루션은 IDS/IPS 기술이 성능을 저해하지 않고 SSL/TLS에 숨겨진 지능형 공격을 탐색하여 제거할 수 있도록 돕는다. 이를 통해 가시성 수준을 획기적으로 높이고 네트워크 트래픽 내부에 숨겨진 잠재 위협들을 제어함으로써 IDS/IPS의 ROI 또한 높일 수 있다.
4. 정교한 공격 모니터링 못하는 네트워크 포렌식
네트워크 포렌식 툴은 SSL/TLS 트래픽에 숨겨진 위협을 탐색하고 분석하기 어려워 심각한 보안 사각지대를 발생시키며 사고 대응에 취약한 상태를 만들 수 있다. ETM 솔루션은 공격에 사용된 SSL/TLS의 종류에 관계없이 의심스러운 네트워크 및 공격자의 행동을 즉각적으로 식별하고, 공격을 입은 네트워크를 복구시킬 수 있다.
가시성 향상 및 분석 강화, 대응 시간 단축을 통해 기존의 보안 분석 솔루션 및 네트워크 포렌식 솔루션에 대한 투자대비효과를 높일 수 있다.
5. 복잡성·비용 증가시키는 SSL 복호화
새로운 SSL/TLS 트래픽 관리 툴 도입 시 보안 디바이스를 추가하거나 네트워크 성능 수준에 맞춰 하드웨어 용량을 추가 해야 하는 경우, 많은 비용이 소요되며 네트워크 보안 인프라 아키텍처를 재구성해야 하므로 복잡성이 높아진다.
이러한 이슈를 해결하기 위해서는 SSL 가시성 어플라이언스를 활용하여 암호화 트래픽 관리 기능을 여러 개의 네트워크에 확장 적용시켜야 한다. 각각의 세그먼트 상에서 작동하는 액티브 디바이스 및 패시브 디바이스에 동시 적용이 가능하다면 더욱 효과적이다.
이와 함께 지능형 정책을 기반으로 DLP, NGFW, IPS, 멀웨어 분석, 네트워크 포렌식 등 기존의 보안 어플라이언스에 검사가 완료된 SSL 트래픽 및 복호화 된 트래픽, 암호화되지 않은 트래픽 등을 모두 공유할 수 있어야 한다.
기존 어플라이언스에서 SSL/TLS 네트워크 트래픽에 대한 보다 심층적인 가시성을 확보함으로써 네트워크 성능을 저하시키거나 하드웨어 비용을 추가하지 않고 숨겨진 잠재 위협을 파악할 수 있다.
6. 네트워크 성능 저하시키는 SSL 복호화
SSL 트래픽을 확인하고 검사할 수 있는 차세대 방화벽이나 IPS 장비와 같은 보안 디바이스라 도 실제 환경에서는 SSL 작동 시점부터 최대 80%에 이르는 심각한 성능 저하를 발생시키게 된다.
방화벽이나 IPS 혹은 UTM 어플라이언스를 사용하는 기업의 경우 인바운드 및 아웃바운드 SSL 트래픽을 복호화하는 기업은 20% 미만이라는 가트너의 조사 결과도 이러한 한계를 반영한다. ETM 솔루션의 경우 한번의 복호화로 여러 개의 피드를 지원(Decrypt Once and Feed Many)할 수 있는 아키텍처를 기반으로 복호화 및 암호화 되지 않은 트래픽을 지능형 정책에 따라 차세대 방화벽과 IPS 장비로 전송함으로써 구성 및 운영 시간을 절감할 수 있도록 돕는다.
7. 데이터 프라이버시·컴플라이언스 대응
특정 유형의 SSL/TLS 트래픽 검사 및 복호화는 데이터 프라이버시 규정을 위반하는 사례가 된다. 그러나 최근에는 암호화 된 트래픽에 숨겨진 지능형 멀웨어가 점점 더 증가하고 있어 SSL/TLS 검사 및 복호화를 실시하지 않는 경우 높은 리스크를 감수해야 한다.
‘올 오어 낫씽(All or nothing)’ 방식의 접근법은 비현실적일 수 밖에 없다. 그러나 ETM 솔루션의 경우 종합적인 정책 엔진을 기반으로 선별적인 검사 및 복호화를 실시할 수 있다. 신뢰할 수 있는 트래픽의 경우 암호화 된 상태로 두고, 알려지지 않은 혹은 의심스러운 트래픽에 대해서만 복호화를 실시하는 방식이다.
특히 범주화(categorization) 기능을 통해 글로벌 위협 인텔리전스 등의 데이터베이스를 활용하는 경우 최근 발견된 공격 정보 및 트래픽, 웹 사이트 분석 정보와 연계하여 네트워크 보안 상태를 점검하고 최신 보안 표준에 적합하게 구성되어있는지 확인할 수 있다.
암호화 트래픽 관리 전략을 수립하고자 할 때 가장 중요한 부분은 SSL/TLS 트래픽에 대한 가시성이다. 또한 기존의 보안 인프라를 교체하지 않고 상호 보완할 수 있는 구조가 되어야 하며, 비용 효율적으로 보안 정책을 수용하고 유연한 확장성을 제공해야 한다. 기업의 성장은 곧 데이터의 급증을 의미하며, 결국 암호화 트래픽의 증가로 이어지기 때문이다.
