보안이슈 고조와 함께 암호화 프로토콜인 SSL은 HTTPS, SPDY, FTPS, SMTS 등 다양한 애플리케이션으로 빠르게 사용이 확산됐다. 이미 지메일, 페이스북, 트위터, 드롭박스, 카카오톡 등 전 세계적으로 200만개 이상의 웹 메일, 소셜 네트워크 서비스(SNS) 등이 SSL 기반으로 웹 및 모바일 애플리케이션 서비스를 제공한다.
포털, 쇼핑, 여행, 교육 등 대부분 웹 서비스 또한 사용자 인증과 결제 과정에서는 암호화 트래픽인 SSL을 사용한다. 기업에서 사용하는 라우터, 스위치, 방화벽 등 대부분의 네트워크 및 보안제품 또한 장비 관리를 위한 암호화 접속을 제공하고 있다. SSL 트래픽은 서비스를 요청하는 사용자와 제공하는 서버 사이에서 주고받는 인증서와 키 교환 과정을 암호화된 방식으로 수행한다. 이후 주고받는 데이터도 암호화 방식으로 통신을 수행해 중간에 누가 트래픽을 보더라도 데이터의 기밀성과 안정성을 보장한다.
최근 국내외 유명 서비스에 많이 쓰인 오픈 SSL에 치명적인 취약점 하트 블리드(Heartbleed)가 발견됐다. 오픈 SSL 취약점을 악용해 사용자 아이디와 비밀번호 정보가 암호화되지 않고 노출되는 문제다. 서비스를 제공하는 많은 기업이 사용자 비밀번호를 초기화하고 운영 중인 장비 운용체계(OS)를 업그레이드해 문제를 해결하기에 바빴다.
이미 기업에서 사용하는 10~20%는 암호화된 SSL 트래픽이다. SSL 기반 서비스 증가에 따라 사용량이 계속 늘어났다. 문제는 정보보호를 위해 운영 중인 대부분 보안제품이 트래픽 복호화 기능을 제공하지 못하고 있는 점이다. 이에 따라 암호화된 SSL 트래픽에는 설정된 보안정책의 탐지와 차단이 불가능하다. SSL 트래픽이 잠재적인 보안을 위협하는 경로로 사용되는 문제가 있다. 암호화돼 공격인지 아닌지 구분이 어려운 셈이다.
대표적으로 지능형지속위협(APT) 공격방어를 위해 많은 기업이 샌드박스 기반의 제품을 도입했다. SSL 트래픽을 통한 악성코드 전파가 일반적으로 사용되지만 실제 도입할 때는 이의 충분한 검토가 없다. 제품을 도입했는데도 APT 공격에는 여전히 노출되는 문제가 발생한다.
최근 화두가 되고 있는 개인정보와 기업 중요정보가 지메일 등 암호화 된 이메일로 유출될 때 트래픽을 복호화하지 않고서는 제대로 검사하거나 차단하지 못한다. 다행인 것은 암호화 SSL 트래픽을 제어하고 복호화하는 다양한 형태의 솔루션이 나왔다.
SSL 트래픽 제어를 위해 고민해야 할 몇 가지 사항이 있다. 먼저 성능이다. SSL 트래픽 복호화를 위해서는 기본적으로 많은 리소스가 사용된다. 전용 SSL 트래픽 복호화 장비가 아닌 경우 해당 기능 사용 시 다른 기능을 사용하는 데 성능적인 저하 문제가 발생하지 않는지 꼼꼼히 따져야 한다. SSL 복호화 전용장비가 아니면 해당기능을 사용해 원래 목적으로 제공하던 기능과 성능이 크게 떨어진다.
다음으로 트래픽 복호화를 위해 다른 보안제품과 연동할 때 인라인과 미러링 등의 구성이 용이하게 되는지 확인한다. 기존 환경에 큰 변화 없이 구성이 가능한지 점검해야 한다. 마지막으로 복호화된 트래픽 정보를 확인할 수 있는 모니터링 기능을 제공해야 한다.
개인정보와 기업 등 중요정보 및 제공서비스에 보안 강화를 위해 암호화 트래픽 사용은 앞으로도 계속 증가한다. 서비스를 제공하는 기업은 보안은 강화하지만 보안 위협에 대응은 더 어려워진다. SSL 트래픽에 대한 가시성을 확보해야 기업 보안성을 높일 수 있다. 이제는 암호화 트래픽을 통한 지능적인 보안위협에 대한 대응을 간과해서는 안 되는 시점이다.
김기태 블루코트코리아 대표 Keetae.kim@bluecoat.com