이 시각 주요 뉴스

여백

HTTP2.0 시대, SSL 트래픽 가시성·컨트롤 중요

신기욱 F5네트웍스코리아 상무, “TLS 컨피규레이션 관리하면서 성능 유지 중요” 신동훈 기자l승인2015.11.19 17:17:19l수정2015.11.19 17:57

크게

작게

메일

인쇄

신고

SSL/TLS 트래픽에 대한 가시성과 컨트롤이 왜 중요할까? 10년 전만 해도 SSL은 금융기관과 몇 몇 공공기관들과 같이 보안에 민감한 웹 사이트나 서비스의 로그인 페이지에만 국한된 문제였다.

그러나 현재 SSL 문제는 대부분의 웹 기반 서비스로 확대되었고 통신을 위한 사실 그대로의 프로토콜(표준)으로 빠르게 자리잡았다. 가트너에 따르면, 2015년 말까지 전세계 인터넷 트래픽의 50%이상이 암호화 될 것으로 나타났다.

▲ 신기욱 F5네트웍스코리아 상무(K.Shin@F5.com)

F5네트웍스의 ‘SSL Everywhere’ 아키텍처는 F5의 BIP-IP 구축의 한 부분인 맞춤형 SSL/TLS 스택에 집중되어 있다. F5는 HTTP 2.0 시대의 SSL/TLS 트래픽에 대한 가시성과 컨트롤을 확보할 수 있다.

오늘날 TLS는 네트워크 서버에 통신 보안을 제공함으로써, 기업의 IT 네트워크에 대한 접근법에 있어 패러다임 전환을 가져왔다. 전송되는 데이터의 암호화를 위해 대칭적 암호화 기술이 사용되어 클라이언트와 서버 간 연결은 별도로 이루어져 안전하다.SSL/TLS 트래픽에 대한 가시성과 컨트롤이 왜 중요할까?

10년 전만 해도 SSL은 금융기관과 몇 몇 공공기관들과 같이 보안에 민감한 웹 사이트나 서비스의 로그인 페이지에만 국한된 문제였다.

그러나 현재 SSL 문제는 대부분의 웹 기반 서비스로 확대되었고 통신을 위한 사실 그대로의 프로토콜(표준)으로 빠르게 자리잡았다. 가트너에 따르면, 2015년 말까지 전세계 인터넷 트래픽의 50%이상이 암호화 될 것으로 나타났다.

F5네트웍스의 ‘SSL Everywhere’ 아키텍처는 F5의 BIP-IP 구축의 한 부분인 맞춤형 SSL/TLS 스택에 집중되어 있다. F5는 HTTP 2.0 시대의 SSL/TLS 트래픽에 대한 가시성과 컨트롤을 확보할 수 있다.

오늘날 TLS는 네트워크 서버에 통신 보안을 제공함으로써, 기업의 IT 네트워크에 대한 접근법에 있어 패러다임 전환을 가져왔다. 전송되는 데이터의 암호화를 위해 대칭적 암호화 기술이 사용되어 클라이언트와 서버 간 연결은 별도로 이루어져 안전하다.

HTTP2.0의 SSL/TLS 트래픽 상의 가시성 및 컨트롤

암호화된 트래픽 사용이 증가함에 따라, 방화벽, 침입 보호 시스템과 침입 탐지 시스템에 의존하는 전통적인 방식은 이러한 디바이스들을 통과하는 데이터 흐름을 파악하지 못한 채 불시에 공격을 받을 수 있어 쓸모 없게 됐다.

▲ 암호화가 되지 않았거나 거의 없는 전형적인 보안 아키텍처

이러한 문제의 솔루션은 보안 경계에서 초기 SSL 복호화가 이루어지게 해야 한다. 그러나 업계에서 사용 가능한 보안경계에서 작용하는 대부분의 솔루션들은 ‘SSL 복호화’라는 구체적인 목적에 맞게 고안되거나 개발되지 않았다.

몇몇의 솔루션들이 복호화 기능이 있을 수 있으나, 이는 완벽한 복호화 기능이 되지 못한다. 또한 많은 기업들은 SSL복호화를 실행할 때에 큰 성능 저하를 경험하고 있는 실정이다. 이에 SSL트래픽의 최적화 처리를 통합하는 경계를 디자인하는 ‘방법’ 에 대한 탐구가 시작됐다. 명백하게도 레이어 7 보안 디바이스의 성능을 극대화하기 위해서 SSL 복호화는 보안경계에서 반드시 이루어져야 한다. 인바운드 SSL 트래픽이 복호화되면, 요청 결과는 분석, 변경 및 관리될 수 있다.

▲ SSL/TLS 가시성을 위한 새로운 아키텍처

SSL 암호

사이버범죄자들은 보안디바이스들이 보안의 허점인 것을 알기 때문에 SSL을 사용해 보안 디바이스를 우회하는 공격을 종종 시도한다. SSL 트래픽에 숨겨진 멀웨어는 보안 플랫폼을 쉽게 우회할 수 있다. 가트너는 2017년까지 기업 네트워크에 대한 공격의 50% 이상이 보안을 우회하는 SSL을 사용할 것이라고 예측했다.

하트블리드, 비스트, 푸들 등과 같은 공격을 생산하는 더 취약한 암호 조합이 발견됨에 따라, 보안 관리자들이 취약점을 수정할 수 있는 시간대는 더욱 감소했다. 수백 또는 수천의 SSL 을 관리해야만 하는 전면 서버를 복구하는 데는 수 주일이 소요되며 그 동안 서버는 악성 정보의 공격에 취약한 상태로 남아있게 된다.

이제 어떤 트래픽을 복호화해야 하는지 선별하는 것은 문제이다. 만약 어떤 비즈니스가 외부로 사용자에게 컨텐츠를 제공하는 것이라면, 그 비즈니스는 서버로부터 SSL트래픽을 선별하고 트래픽 플로우에 보안 기능을 추가하는 디바이스를 사용해야 한다.

이 작업은 SSL을 지능적으로 해제하는 방식이다. (사용자는 온라인 뱅킹 사용 과정에서는 복호화 기능을 원하지는 않겠지만, 페이스북 사용 시에는 복호화 기능을 원한다.) 보안 기능은 트래픽이 어디로 전송되는지를 이해할 수 있는 인텔리전스를 반드시 갖추어야만 하고, 그 이후에 해당 트래픽을 복호화할 것인지 아니면 그대로 전송할 것 인지에 대한 판단도 할 수 있어야 한다.

▲ 왜 Big-IP를 전면에 배치해야 하는가?

SSL은 기술적으로 사용자가 포인트 투 포인트 보안을 달성하도록 지원하지만 전체 트래픽을 보호할 필요는 없다. SSL은 위조된 SSL 인증이 없이도 암호화된 트래픽 속에 숨어있는 멀웨어에 의해 탈취될 수 있다. 따라서, IT업계에 있어 주요 관심사는 실시간으로 스캠(scam)을 감지하고 그 즉시 해결하는 것이다.

F5의 풀-프록시(Full-Proxy) 아키텍처는 내부와 외부 통신 상에서 분리된 연결을 실행하는 동시에 완벽한 변환 및 복호화를 가능하게 한다. SSL 세션은 해제하는 기능으로 IT는 외부에서 트래픽 암호화를 쉽게 사용할 수 있으며, 필요 시 구HTTP 활용할 수 있다. 모든 연결이 가능할 것이며 HTTP2.0의 혜택을 활용하기 위해 전체 웹 애플리케이션 인프라를 해제하거나 대체해야 할 필요가 없다.

HTTP 2.0 시대에는 TLS 컨피규레이션을 관리하면서 성능을 유지하는 것이 중요하다.

신동훈 기자  sharksin@cctvnews.co.kr
<저작권자 © CCTV뉴스, 무단 전재 및 재배포 금지>

신동훈 기자의 다른기사 보기
여백
여백
여백
여백
매체소개공지사항보안자료실기사제보광고문의불편신고개인정보취급방침청소년보호정책이메일무단수집거부    [기사ㆍ기고 문의 : desk@cctvnews.co.kr]
(주)테크월드 08507 서울특별시 금천구 가산디지털1로 168, 1012-1호 (가산동, 우림라이온스밸리 C동)  |  제호: 씨씨티브이뉴스  |  발행일: 2009년 2월 19일
대표전화 : 02)2026-5700  |  팩스 : 02)2026-5701  |  이메일 : webmaster@techworld.co.kr  |  청소년보호책임자 : 박지성
통신판매업신고번호 : 제 2008-서울금천-0415 호  |  발행·편집인 : 박한식  |  인터넷신문등록번호 : 서울, 아 00607  |  등록일 : 2008.06.27
Copyright © 2019 CCTV뉴스. All rights reserved .