블루코트의 이번 조사 결과 기업들은 네트워크 트래픽암호화를 늘려가고 있으며 복호화 및 검사 기능 사용이 증가하고 있지만 이를 전략적으로 활용하는데 어려움을 겪고 있는 것으로 나타났다.이번 조사는 북아메리카지역 공공, 금융, 제조 등 다양한 대형 규모(응답자 중 82%가 1000명 이상의 사업장에 근무) 기업에서 근무하고 있는 보안 담당자 150여 명을 대상으로 진행됐다.
보고서에 따르면 응답 기업의 87%는 전체 네트워크 트래픽의 최소 25%를 암호화하고 있으며 특히 응답 기업의 25%는 이미 전체 네트워크 트래픽의 75% 이상을 암호화한 것으로 나타났다. 또한 향후 2년 이내에 트래픽암호화의 비중을 늘릴 것인지에 대한 질문에는 56%가 상당히 늘릴 계획이다, 32%는 어느 정도 늘릴 것이다, 9%는 암호화를 포함한 보안 전략 개발을 구상하고 있다라고 응답해 대다수인 97%가 네트워크 트래픽암호화 비중을 늘릴 것으로 조사됐다.
2년 이내에 트래픽 암호화의 비중을 늘릴 것인가?
네트워크 암호화를 도입하는 이유로는 ‘보안 강화’가 42%를 차지하며 가장 높은 비중을 차지했고, ‘서버 간 트래픽 보호’가 41%를 차지했다. 이밖에 ‘컴플라이언스 대응’이 37%, ‘자체 개발 웹 애플리케이션 보호’가 33%를 차지했다.(복수응답 가능)
이렇듯 네트워크 암호화가 보안 강화의 수단으로 인식되고 있지만 보안 전문가들은 암호화가 악성 공격의 수단이 되고 있음을 지적했다. 사이버 범죄조직 및 해커들이 암호화된 채널을 내부망 정찰, 멀웨어 배포, 커맨드-앤-컨트롤 트래픽 생성 등에 악용하고 있으며, 악성 활동을 암호화시킴으로써 암호화되지 않은 패킷만을 대상으로 패킷필터링, 트래픽 검사, 지능형 방어 등을 제공하는 전통적인 보안 툴을 우회하기 때문이다.
암호화된 SSL, TLS트래픽 검사를 통해 확인하고자 하는 보안 위협 중 가장 큰 비중을 차지하는 부분은 ‘신뢰하는 사이트에 심어진 악성 컨텐츠’가 43%로 조사됐고, ‘의심스러운 악성 코드가 심어진 은폐 파일 및 스크립트’, 그리고 ‘민감 데이터 유출’이 각각 40%를 차지했다. 이와 함께 ‘웹사이트에서 제공하는 의심스러운 SSL, TLS인증서’가 38% ‘피싱 공격’이 36%로 그 뒤를 이었다.(복수응답 가능)
암호화된 SSL/TLS 트래픽 검사를 통해 확인하고자 하는 보안 위협
그러나 대다수의 보안 담당자들이 SSL, TLS 트래픽복호화 및 검사 작업 시 운영 및 기술적인 어려움을 겪고 있는 것으로 나타났다. 실제로 응답 기업의 20%만이 종합적인 보안 전략을 바탕으로 암호화된 SSL, TLS트래픽 검사를 실시하고 있으며 나머지 80%는 암호화 트래픽 여부를 판단하는 정도로 필요에 따라 전술적인 측면에서만 검사를 실시하고 있는 것으로 나타났다.
암호화된 SSL, TLS트래픽 검사를 전략적으로 수행하기 어려운 원인은 조직적인 부분, 기술, 프로세스, 데이터 프라이버시 이슈 등이 꼽혔다. ‘다양한 패킷필터링 기술과 SSL, TLS 암호화, 복호화를 통합하기 어렵다’라는 대답이 26%로 가장 높은 비중을 차지했고, ‘주요 서비스에 대한 네트워크 성능 및 트래픽 문제를 일으킬 수 있는 가능성에 대한 우려’가 24%로 그 뒤를 이었다. 이와 함께 ‘보안팀과 네트워크팀 간 협업의 어려움,’ ‘SaaS서비스 사용으로 인한 보안 정책 설정 및 규정 준수의 복잡성,’ ‘SSL, TLS에 대한 세부적인 기술 이해도 부족’이 22%로 조사됐다.
ESG는 암호화된 SSL, TLS복호화 및 검사를 전략적으로 활용하기 위해 다음과 같은 접근이 필요하다고 조언했다.
고성능의 목적형 SSL, TLS 암호화 ‘서비스’활용: 필요에 따라 산발적인 SSL, TLS 복호화 기술을 사용하는 경우 운영상의 과부하를 일으킬 뿐만 아니라 네트워크 프록시에 복잡성을 더하고 SSL 인증서 관리에 어려움을 겪게 된다. 이러한 병목 현상을 줄이기 위해서는 목적성(purpose-built)기술을 바탕으로 중앙 허브 방식의 ‘서비스’ 형태로 SSL, TLS 복호화 기술을 적용해야 한다. 이를 통해 정책 관리, 인증서 관리, 구성 관리, 리포팅 등의 기능을 중앙 집중형의 커맨드-앤-컨트롤에 따라 적용시킬 수 있기 때문이다. 또한 데이터센터 및 네트워크 시스템을 위한 고성능 어플라이언스, 혹은 원격지 운영을 위한 소형, 가상 어플라이언스, IaaS/SaaS/PaaS네트워크 보호를 위한 클라우드 기반 가상 어플라이언스 등 다양한 환경에서의 복호화 운영이 가능하다.
보안 툴을 통한 멀티-레이어 통합: 트래픽이 복호화된 후 SSL, TLS 복호화 아키텍처에서는 심층 컨텐츠 검사를 위해 NGFW, IDS/IPS, 멀웨어 분석, 보안 분석 등 다양한 보안 툴을 트래픽을 전송하게 된다. 미들웨어브릿지 형태의 중앙 집중형 복호화는 기존 보안 인프라를 유지하며 확장 가능한 적응형 암호화 트래픽 관리 솔루션을 추가할 수 있다. 특히 보안 분석 툴에서 개별 트래픽을 검사하는 동시에 마스터 분석 엔진을 통해 전체 네트워크 보안 분석 툴 및 서비스 상에서 발견된 위협 요인들의 연관 관계를 파악할 수 있다.
치료 자동화: 자동화를 기반으로 기업 보안 전략을 구상하는 경우 SSL, TLS 복호화 및 검사가 고속의 디바이스 및 네트워크에 적용되어 실시간에 가까운 성능을 보장할 수 있다. 이를 위해서는 CISO가 네트워크 엔지니어 및 아키텍트와 협업하여 자동화된 네트워크 보안 체제를 구축해야 한다. 예를 들어 지능형 멀웨어를 탐지하기 위해 네트워크 포렌식, 엔드포인트포렌식 툴을 사용하는 경우, 사이버 공격을 입은 PC에서 암호화된 파일의 업로드를 시도할 때 네트워크 상에서 이를 자동으로 차단하고 새로운 IDS/IPS 시그니처 및 방화벽 정책을 생성하여 향후 유사한 접근을 사전에 막을 수 있어야 한다.
★정보보안 대표 미디어 데일리시큐!★
<데일리시큐 길민권 기자> mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
