[SSL 가시성②] 효과적인 복호화 전략 수립해야

홈 > 뉴스 > 뉴스 > 보안

[SSL 가시성②] 효과적인 복호화 전략 수립해야

한 번 복호화 한 후 많은 보안장비에서 분석…인/아웃바운드 트래픽 모두 분석

관련기사

[SSL 가시성①] 보이지 않는 것은 보호할 수 없다

2017년 12월 07일 09:22:08

김선애 기자

iyamm@datanet.co.kr

‘보이지 않는 것은 보호할 수 없다’는 말은 SSL/TLS 암호화 통신에도 동일하게 적용된다. 각종 공격도구들은 암호화 돼 유입되며, 중요정보 역시 암호화 해 외부로 불법 유출된다. SSL/TLS 통신은 복호화 한 후 보안장비에서 분석해 이상 없을 때에만 송/수신 돼야하기 때문에 SSL 가시성을 확보해주는 전용 솔루션의 수요가 늘어나고 있다.<편집자>

보안 시스템 현황 살펴 적합한 제품 선택

SSL 가시성 솔루션은 복호화만을 수행하기 때문에 기능이 단순하다고 생각할 수 있지만, 결코 그렇지 않다. 복호화된 트래픽을 보안장비로 보낼 때 해당 장비가 이해할 수 있는 형태로 보내야 하는데, 비표준 장비는 이를 인지하지 못할 수도 있다.

비표준 보안장비와 연동할 때 SSL 가시성 솔루션이 트래픽을 전환시켜 보내야 하는지, 아니면 보안 장비가 표준 프로토콜을 지원하도록 개선해야 하는지 이견이 분분하다. SSL 가시성 솔루션은 패킷의 변형 없이 보안장비에 전달해야 정확한 분석 결과가 나올 수 있다고 생각하고 표준 프로토콜로 전송한다.

그러나 보안 장비 솔루션은 가시성 솔루션이 기존에 구축된 보안장비 환경에 맞춰야 한다고 주장하는 상황이며, 일부 사례에서는 비표준 장비 지원 문제가 불거지면서 이미 선정된 SSL 가시성 솔루션이 다른 제품으로 교체된 사례도 있다.

현실적인 SSL 가시성 방법 찾아야

SSL 가시성 솔루션의 효과를 극대화하기 위해서는 단 한 번만 복호화 한 후 모든 보안 장비에서 분석하도록 해야 한다. 그러나 기 구축된 보안 시스템 환경을 살펴보면 이와 같은 구성이 불가능한 경우도 있다. 방화벽, IPS, DDoS 방어 등은 인라인으로 구성되지만, 웹방화벽은 네트워크 보안 솔루션과 같은 구간에 위치하지 않는다. 네트워크 기반 APT 솔루션은 미러링으로 구축되며, 엔드포인트 보안 솔루션은 엔드포인트에 있기 때문에 초기에 유입되는 암호화된 악성코드나 C&C 통신으로 내려 받는 페이로드는 SSL 가시성 솔루션이 복호화하지 못한다.

암호화된 중요 정보가 외부로 유출되는 것을 막도록 아웃바운드 트래픽도 분석해야 하는데, DLP, 메일서버 등도 같은 라인에 있지 않기 때문에 단일 장비로 모든 트래픽을 복호화 하지 못하며, 여러 대의 장비를 구입해 사용해야 한다.

박범준 신우티엔에스 대표이사는 “SSL 가시성을 확보하는 것은 암호화 트래픽이 증가하는 상황에서 반드시 필요한 것은 맞지만, 한 번 복호화 한 후 모든 보안 문제를 점검한다는 이상적인 구성은 현실적으로 어렵다. SSL 복호화 기능을 수행하는 보안 솔루션도 다수 있으므로, 현재 보안 시스템 구성을 잘 살펴서 가장 효과적인 가시성 솔루션 구축 방법을 찾아야 한다”고 말했다.

조원균 F5코리아 지사장은 “SSL 가시성 솔루션은 현재 보안 시스템 구성을 변경하지 않고 설치할 수 있다고 하지만, 보안 솔루션의 특징에 따라 연동하고 운영하는 것은 쉽지 않다. 보안의 특성과 연동방식 등을 고려해야 하며, 네트워크 성능 저하가 일어나지 않도록 설계해야 하고, 인증서 관리 등 업무와 직접 연결되는 세부적인 사항도 점검해야 한다”고 말했다.

SWG-SSL 가시성 연계해 안전한 웹 환경 구성

SSL 가시성 시장을 열어온 블루코트는 시만텍에 인수되면서 시만텍의 보안제품과 시너지를 높일 수 있어 APT 방어 역량을 강화하게 됐다고 강조한다. 시만텍은 SWG가 설치된 구간에서는 SWG가 복호화를 처리하며, SWG가 없는 구간에서는 SSL VA 솔루션이 복호화를 처리한다고 설명한다. 인라인 모드를 원칙으로 하지만, 인라인으로 복호화 한 트래픽을 복제해 아웃오브패스 보안 장비로 보낼 수도 있다.

설치와 구성 변경에 오랜 시간을 사용하지 않아도 간단하게 구성할 수 있으며, SSL 사용 포트 설정이 필요 없고, HTTPS, POP3S, SMTPS, FTPS도 지원한다. 운영 관점에서 경쟁사 대비 가장 많은 암호화키 조합(Cipher Suite)을 갖고 있어 복호화에 대한 강력한 가시성을 제공한다.

서종열 시만텍코리아 상무는 “시만텍은 SSL 가시성 시장을 개화시킨 선두주자로, 대기업, 금융기관을 중심으로 솔루션을 공급해왔다. 가장 오랜 역사를 갖고 있으며 가장 전문성 높은 기술을 보유한 시만텍은 인바운드 트래픽의 가시성을 확보해 줄 뿐만 아니라 기밀 데이터 유출 방지 솔루션을 통해 아웃바운드 트래픽 가시성까지 확보할 수 있다”고 설명했다.