PRESS

칼럼

[DLP 바로알기④] 패킷 자체가 암호화 상태로 전송되는 SSL/TLS

최일훈 소만사(대표 김대환) 연구소장의 <DLP(Data Loss Prevention) 바로알기> 칼럼을 연재하고 있다.
짧고 쉬운 문체로 설명한 만큼, DLP에 대한 이해도를 높이고
내부정보유출방지를 목적으로 DLP 도입을 고려하고 있는 기업들에게 작은 도움이 되길 바란다. [편집자 주]

◇HTTPS, HTTP에 보안이 강화된 버전으로 훔쳐보기 공격에 강한 웹서비스

웹브라우저에서 ‘구글’ 사이트에 접속하면 주소부분이 초록색 자물쇠와 함께 ‘HTTP’가 아닌 ‘<HTTPS://>www.google.com’으로 써있는 것을 확인할 수 있어.
HTTPS는 웹통신 프로토콜인 HTTP에 보안이 강화된 버전으로 보통 암호화웹(SSL/TLS 라고 부르는 것이 더 보편화 됨)이라고 불러.
암호화웹은 원래 로그인이나 인증페이지처럼 비밀번호 입력페이지에 적용됐던 기능인데 전송 중 훔쳐보기공격(Sniffing Attack)이 발생해도 해커가 어떤 정보인지 알 수 없다는 것이 장점이었어.

최근에는 모든 서비스가 SSL/TLS 화 되는 추세야.
로그인 사용자 인증이 필요한 모든 서비스는 SSL/TLS 로 되어있어.
페이스북, 트위터, 지메일, 네이버메일, 다음메일 등이 대표적이지.
구글의 경우 로그인이 필요없는 검색부분도 모두 SSL/TLS 로 되어있어.
한 걸음 더 나아가 크롬브라우저는 SSL/TLS가 아니면 안전하지 않다라는 표시가 뜨고 있지.
이러한 추세는 더욱 더 가속화될 전망이야.
◇양날의 검처럼 내부정보 유출에는 취약한 ‘SSL/TLS ‘

다시 돌아가서, 해커가 사내 전산망에 침투해서 개인정보를 탈취하고 파일을 만든 후 암호화웹을 통해서 외부로 유출한다면 어떻게 될까?
또 내부직원의 실수 혹은 고의에 의해 개인정보가 유출된다면 어떻게 될까?
암호화웹은 오히려 문제를 크게 일으키게 될거야.

예를 들어보자, 지메일로 대용량 첨부파일 및 다중압축파일로 VIP고객 고유식별정보를 유출한다고 가정해보자.
패킷이 암호화 처리되어 외부로 나가기 때문에 네크워크 보안 솔루션은 깜깜이가 될거야.
전송되는 정보가 보이지 않기 때문에 회사는 유출 사실을 알지 못할뿐더러 사고발생 후에도 어디서 어떻게 유출됐는지 사고경위 파악 자체를 못 할거야.
보이지 않기 때문에 보호할 수 없는 거지.
DLP의 최후의 보루는 기록이라고 했는데 이걸 수행할 수가 없게 되는 거야.

SSL/TLS 가시성확보 및 복호화 수행 소만사 어플라이언스





◇대안은 오직 ‘웹프락시’

이 문제에 대한 대안은 바로 ‘웹프락시’야.
중간에서 클라이언트에게는 서버의 역할을 하고, 서버에게는 클라이언트 역할을 하면서 중간에 패킷을 중개해서 패킷 안에 어떤 개인정보가 들어있는지 확인하는 거야.

예전에는 미러링 방식을 사용했기 때문에 사전통제가 불가능하고 단순하게 기록만 할 수 있었어.
하지만 프록시 방식을 사용하면 사전통제가 가능해져서 정책이상의 개인정보가 들어있을 경우 차단/기록하고 그렇지 않을 경우 그대로 외부로 내보낼 수 있게 됐어.
즉, 소잃고 외양간 고치는 일을 하지 않아도 된다는 거지.

예전에는 패킷을 복호화하고 가시성을 확보하는 프록시 장비랑 내용을 분석하는 DLP 장비를 각각 따로 두었는데
아무래도 각자 다른 제품이다 보니 성능이 떨어지거나 부하가 일어나는 경우가 있었어.

그래서 설계단계에서부터 프록시와 DLP 장비를 일체화 해서 성능을 높이 끌어올린 제품이 탄생하게 되었어.
암호화웹 보안을 안정적으로 운용하려면 일체형 장비가 필요할거야.

(To be continued.)
글. 최일훈 소만사 연구소장 / acechoi@somansa.com
★정보보안 대표 미디어 데일리시큐!★
http://www.dailysecu.com/?mod=news&act=articleView&idxno=36691
이전글 [DLP 바로알기③] 클라우드 저장 개인정보는? 클라우드 DLP로 2018.07.19
다음글 [DLP 바로알기⑤] 엔드포인트 DLP의 한계, 네트워크 DLP로 상쇄 2018.07.31
목록