[컴퓨터월드]

주제1: SSL 보안 – “SSL 보안, 만병통치약 될 수 없다”(이번호)
주제2: 애플리케이션 보안(다음호)
주제3: 금융보안(2016년 1월호)

클라우드와 IoT, 모빌리티 등이 화두가 돼 온 최근 몇 년간, 국내외 IT업계는 다양한 기술의 발전과 더불어 복잡한 보안 위협에 더 많이 노출되면서, 전 세계적으로 기업과 모든 개인에게 ‘보안’이 보장된 안전한 서비스를 제공하는 것이 새로운 화두로 떠올랐다. 이처럼 보안 위협이 갈수록 증가하는 가운데 세 차례에 걸쳐 국내 보안에서 중요하게 인식되는 세 가지 이슈에 대해 다루고자 한다.

현재 국내에서는 대기업, 금융기관뿐 아니라 개인을 대상으로 하는 사이버 공격이 증가하면서 금융 전산망 마비, 개인정보 유출사고, DDoS(디도스) 공격 등이 끊이지 않고 있다. 기업들이 온프레미스 및 클라우드 상으로 보유하고 있는 비즈니스 관련 정보는 정보 자체의 높은 가치로 인해 사이버 공격자들의 주목을 받고 있다. 최근에는 고객의 신용카드 정보부터 직원들의 개인정보도 함께 탈취 대상이 되고 있으며, 뽐뿌와 같은 온라인 커뮤니티도 공격을 받으면서 이제는 개인도 정보유출에 대해 심각한 우려를 하게 됐다.

최근 클라우드의 도입 증가 추세와 초연결시대가 도래함에 따라 기업들은 이제 기업 및 고객(개인)의 정보를 안전하게 보호하고 새로운 공격을 예방해야 하는 과제를 보다 심각하게 고려해야 한다.

무선인터넷 사용자가 점차 늘어나는 모바일 시대로 접어들면서, 스마트폰, 개인 디바이스 등의 기기를 활용한 연결이 증가하고 있으며, 이러한 모빌리티 성장 추세는 계속해서 증가하고 있다. 따라서 모바일 디바이스의 보안에 대한 관심이 늘어나며 관련 솔루션에 대한 수요도 증가하고 있고, 네트워크 트래픽 또한 급증하며 네트워크 보안에 대한 관심도 확대되고 있다.

시스코는 국내 IP 트래픽이 2019년에는 2014년 대비 2배가량 증가한 67.8EB(엑사바이트)에 달하며 13%의 연평균 성장률을 기록할 것으로 전망한 바 있다. 이처럼 네트워크 활용이 확대되면서 환경 또한 변화를 맞이하고 있다. 지난 10년 간 사용해온 웹 프로토콜 표준인 HTTP 1.1 버전을 뒤로 하고 현재 새로운 웹 트래픽 수용이 가능한 새로운 2.0버전의 도입을 앞두고 있다.

이에 따라 기업들 또한 새로운 보안 과제에 대응하기 위한 하나의 방법으로 웹을 통해 전송하고 수신 받는 데이터를 안전하게 보호하기 위해 트래픽 암호화를 확대 적용하고 있다. 실제로 웹상으로 이뤄지는 결제 과정뿐 아니라 우리가 일상적으로 사용하는 포털 및 메일 서비스에서도 암호화 트래픽이 사용되고 있는 것을 쉽게 볼 수 있다.

SSL 트래픽의 확산과 문제점 도래

최근 기업들은 비즈니스에 있어 핵심적인 애플리케이션 및 업무를 클라우드로 이전시키는 양상을 나타내고 있으며 이렇게 변화하는 환경에서 기업들 또한 ‘모든 것의 암호화(encrypt everything)’ 접근법으로 나아감에 따라 SSL은 필수사항으로 자리 잡고 있다.

현재 전체 웹 서비스의 25%가 SSL을 이용하고 있으며, 2017년에는 50%까지 늘어날 것으로 전망되고 있다. 구글과 같은 해외 인터넷 사업자는 고객정보 보호와 웹 서비스 속도 향상이라는 목적달성을 위해 보안 프로토콜을 의무화하며 SSL 트래픽 확산을 추진하고 있는 상황이다. 즉, 네트워크상에서 전송되고 수신되는 데이터를 SSL로 암호화해 전송함으로써 악의적인 사용자들로부터 데이터의 유출을 방지하고 패킷이 안전하고 신뢰할 수 있는 데이터 상태로 제공한다는 것이다.

하지만 대부분의 보안 문제에 있어 그렇듯이, 어떤 위협에도 ‘만병통치약’과 같은 해결책은 존재하지 않는다. 가트너는 2017년에 이르면 사이버 공격의 50% 이상이 암호화된 네트워크 트래픽을 주요 공격 경로로 사용할 것이라고 전망했으며, 현재 보안 시스템의 80%는 SSL 트래픽 내부의 위협을 인식하거나 차단하지 못하고 있다고 밝혔다.

화이트 네트워크 인프라 구축이 필요한 때

이렇듯 네트워크 트래픽 암호화는 인터넷을 통해 전송되는 데이터를 보호하는 역할을 하지만 그 속에 암호화된 보안 위협인 멀웨어(Malware) 트래픽에 대해서는 보안 시스템이 탐지 및 차단을 할 수 없다는 문제점을 가져온다. 다시 말해, 비정상적인 트래픽을 탐지하지 못하고 정상적인 패킷이라고 판단하면서 그 속에 숨겨져 있는 위협을 감지하지 못한 채 데이터가 전송된다는 것이다.

실제로 이러한 보안 위협이 발생하게 되면 서비스 제공이 불가능해짐은 물론, 관련 시스템 전체가 다운되며 사용자들 또한 위험한 네트워크에 접속하게 돼 사용한 디바이스에 저장된 개인정보가 얼마든지 유출될 수 있다. 그 동안 SSL이 보장해오던 안정성이 흔들리게 된 것이다.

그렇다면, 이런 상황 속에서 어떤 해결책을 가질 수 있을까? SSL이 가진 기본 원칙에 입각해 문제를 다시 생각해보자. 트래픽을 볼 수 없도록 암호화 했다면 반대로 관리자의 입장에서는 트래픽을 잘 보일 수 있도록 가시성을 확보하는 것이 중요할 것이다. 즉, 전송되는 데이터 트래픽을 복호화(decryption)해 가시성을 확보한 후 기존의 보안 시스템으로 트래픽을 통과시키고, 실제로 안전한 통신으로 분석된 트래픽만 다시 SSL로 재암호화해 전송함으로써 실제적인 안전한 데이터만 통과시키자는 것이다. 보안 시스템 상에서 가시성이 확보된 트래픽을 전송하기 위해 가장 많이 사용되는 방법은 다음의 세 가지다. 

물론 정확한 가시성을 확보하고, 가시성이 확보된 트래픽을 다양한 방법으로 보안 시스템에 전송할 수 있는 기능이 제공돼야만 이러한 가시성을 확보할 수 있다. 보다 뛰어난 기능과 성능이 뒷받침돼야 성능 저하 없이 안전한 트래픽 전송을 유지할 수 있다. 다시 말해, 복호화 기능과 뛰어난 성능 기반으로 된 SSL 보안만이 사용자가 언제 어디서나 어느 디바이스를 사용하든지 안전한 보안 환경의 혜택을 누릴 수 있는 화이트 네트워크 인프라가 구축되고, 기업은 암호화된 보안 위협으로부터 안정적인 서비스를 제공할 수 있게 된다.

앞서 말했듯이 완벽하게 안전한 환경을 제공하는 만병통치약과 같은 보안 솔루션 및 제품은 존재하지 않는다. 따라서 기업들이 보안 위협으로부터 내부 자산과 고객의 정보를 안전하게 지키기 위해 일회성의 구매 또는 비용이 아닌 ‘투자’라는 인식으로 전환하고 실천하는 태도로 임한다면 비즈니스의 성공과 고객 만족이라는 두 가지 목표를 함께 달성할 수 있지 않을까 생각한다.