News/ Event

회사 네트워크에 SSL/TLS 웹트래픽 가시성을 확보해야 하는 이유

[칼럼] | 2020-04-17

    처음엔 편했던 것 같다. 통제범위에서 벗어난 기분이 들었던 것 같다.
    – 기존 유해사이트 차단 솔루션이 SSL/TLS 웹서비스는 통제하지 못함을 알게 된 과거의 나


회사에 설치되어 있던 기존 ‘미러링 기반 유해사이트 차단 솔루션’은 SSL/TLS 기반 웹서비스 이용현황을 통제, 차단하지 못한다고 했기 때문이다.
SSL/TLS 암호화 트래픽이 오고 가도, 패킷이 암호화상태로 왔다 갔다 하기 때문에 확인하기 어렵다고 했다.
패킷을 미러링 방식으로 복사해서 들여다보는 ‘기존 유해사이트 차단 솔루션’은 그저 포장지에 쌓인,
또는 암호로 구성된 ‘암호화 패킷’만 보기 때문에 클라이언트 서버에서 무엇을 PC에 보냈는지,
PC는 무엇을 요청한 것인지 알 길 없다고 했다.

‘유해사이트 차단 솔루션’은 보통 불법/비업무/악성코드 배포사이트 접속을 차단하는 역할을 수행한다.
사실 상식을 가진 직장인이라면 회사에서 불법사이트에 접속하진 않을 것이다.
불법토토나 테러조장사이트에 들어갈 일은 사실 거의 없다.
하지만 비업무사이트는 조금씩은 들어가긴 한다.
잔업과 야근이 일상인 한국 직장인들에게 잠깐의 비업무 사이트 접속은 숨통을 트일 수 있게 하는 잠깐의 휴식 같은 거니까.
주식 그래프도 살짝 구경하고, 쇼핑몰에서 봄맞이 옷도 구매하고,
주말 캠핑을 위해 날씨 사이트에서 주말 날씨도 체크하면서 10분~30분 정도는 쉬어 주기도 한다.

보안 담당자의 시야에서 벗어나니 편하다.



라고 생각할 수 있겠지만, 사실 이는 심각한 결과를 초래할 수 있다.


1.악성코드, 랜섬웨어, 바이러스 등에 감염될 수 있다.

보안성이 취약한 사이트를 해커가 해킹한 후 내부에 악성코드를 심어 놓을 수 있다.
해당 사이트에 접속시 ‘드라이브 바이 다운로드(Drive By Download)’ 공격에 의해
자동으로 실행파일이 설치되어 PC에 악영향을 끼칠 수 있으며 사내 네트워크 전체가 마비될 수도 있다.

메일을 통하여 교묘하게 포장된 ‘악성코드 링크’를 받을 수도 있다.
“메일 사서함이 가득찼습니다” 또는 “저작권 위반으로 신고접수 되었습니다.
세부내용을 확인하시려면 다음 신고접수 사이트에서 확인하십시오” 라고 유인할 수도 있다.
클릭하는 순간, 똑같이 ‘드라이브 바이 다운로드’ 공격의 희생양이 된다.

기존 유해사이트 차단 솔루션은 해당 웹사이트의 URL을 보고 판단을 했다.
사내직원이 접속한 사이트 정보가 평문으로 오가기 때문에 빠르게 확인하고 차단을 수행할 수 있었다.
하지만 SSL/TLS(주소창에는 HTTPS라고 써 있다. 자물쇠 모양으로.) 암호화 웹에 접속할 경우에는 악성여부를 판단하지 못한다.
알게 모르게 PC가 이미 오염되어 있을 수도 있다.

사태를 파악했을 때는 이미 내 PC파일 뿐 아니라 회사 네트워크 전체가 악성코드와 랜섬웨어로 마비된 이후일지도 모른다.


2. 내 PC가 정보유출의 통로가 될 수 있다.

두 가지 경우로 언급하고자 한다.
해커에 의한 정보탈취와 내부자에 의한 개인정보 유출로 나누어 이야기하고자 한다.

해커에 의한 정보탈취: 위에서 언급한 악성코드 감염 이후의 심화행위가 될 수 있다.
해커는 개인정보처리자가 보유한 데이터를 손에 넣은 후 악용할 수 있다.
데이터를 변조하여 금품을 요구하거나(랜섬웨어) 개인정보를 탈취한 후 판매하거나 공개하여 금전적 이득을 취하거나 기업, 크게는 국가의 평판을 추락시키기도 한다.
정보탈취는 보통 네트워크를 통해 이루어진다.
PC권한을 확보한 후 원격접속을 통해 덤프를 떠서 POP3S, SMTPS, FTPS, SMTP, STARTTLS 나 웹메일, 클라우드로 개인정보를 유출하기도 한다.
당연한 이야기이지만, SSL/TLS 암호화 기반 트래픽 환경을 기존 네트워크 장비로는 막을 수 없다.


내부자에 의한 정보탈취: 하지만 데이터는 금전적인 이익과 연결되는 경우가 많기에 정보구매자도, 불법조회자도 존재한다.
기존 네트워크 보안 솔루션이 암호화된 패킷을 읽지 못한다는 점을 알고 과감하게 SSL/TLS 기반 웹서비스로 정보를 유출하기도 한다.
로깅도 되지 않기 때문에 알아차릴 수도 없다는 것을 알기 때문이다.



양날의 검, SSL/TLS

SSL/TLS 웹서비스는 보안성 여부에서는 안전한 기술인 것은 맞다.
그러나 정보가 송수신되는 행위에 대해서는 보안에 위협이 되는 채널로 악용될 수 있는 기술이기도 하다.
장점과 단점이 공존한다.
‘웹프록시’는 PC와 클라이언트 서버사이에서 암호화로 오가는 정보를 중간에서 복호화하여 가시성을 확보해준다.
평문으로 복호화 해주어 보안 솔루션에게 넘겨준다.
악성코드 차단과 정보유출 차단을 수행하는 SWG(Web SecureGateWay)와 DLP(Data Loss Prevention)의 보안범위를 넓혀준다.

뿐만 아니라 IPS, IDS, APT, 포렌식 등 다른 보안 솔루션에도 연동이 가능하다.
웹프록시는 기존 네트워크 장비가 수행하지 못하는 보안업무를 ‘보완’해준다.

웹프록시는 SSL/TLS 암호화웹 트래픽을 검사, 복호화하여 솔루션에 제공해준다
웹프록시는 복호화한 패킷을 보안솔루션에 제공해주는데, Inline(인라인)/Mirroring(미러링) 모두 적용이 가능하다.
각 보안 솔루션에 맞는 방식으로 구축이 가능하다는 장점이 있다.

복호화된 정보는 각 보안솔루션의 탐지서버에서 분석된다.
분석이 완료되면 해당 트래픽의 목적지가 결정된다.
개인정보나 악성코드가 들어있으면 반출 또는 유입이 차단된다. 문제없는 트래픽이라면 문제없이 송수신된다.


웹프록시가 가져야 할 덕목

보안은 보수적으로 수행하는 것이 안전하기는 하다.
하지만 그렇다고 해서 개인정보가 들어있다고 무조건 전송을 차단하고,
장애가 발생해 네트워크가 마비되어도 무조건 차단하는 방식을 고수한다면 융통성이 없는 운영방식이라고는 불만을 받을 수 밖에 없을 것이다.
업무의 효율성을 중시하는 사내 임직원들의 반발이 거셀 것이다.
1분1초가 급한 계약서, 견적서, 정부과제 등이 사내 네트워크 장애로 발송이 되지 않는다면 당사자의 매서운 눈초리를 견딜 수 없을 것이다.

​ 웹프록시를 적용하더라도 융통성있게 보안업무를 수행해야 한다.
예를 들자면, 개인정보가 일정개수 이상 포함되어 있어도 발송 목적지가 신뢰할 만한 곳이라면 화이트리스트 정책을 통해 송수신하도록 정책을 설정하면 효율적일 것이다.
하드웨어나 소프트웨어에 장애가 발생할 경우 바이패스하거나 자동복구기능을 통해 세션을 유지하여 가용성을 보장한다면 업무가 수월할 것이다.
이와 동시에 이슈가 발생하면 빠르게 해결해야 할 것이다.
자체 디버깅 정보와 pcap(패킷캡쳐)를 제공하여 다양한 데이터를 기반으로 빠른 지원을 약속한다면 보안담당자와 사내임직원의 업무환경을 모두 만족시킬 수 있을 것이다.

소만사 T-Proxy, 기획단계부터 DLP 및 유해사이트 차단 솔루션과 일체화

소만사 웹프록시 솔루션 ‘T-Proxy’는 기획단계부터 DLP 및 유해사이트 차단솔루션과의 일체화를 목적으로 설계된 하드웨어 솔루션이다.
DLP, 유해사이트 뿐만 아니라 IPS, IDS, APT 솔루션 등과도 자연스러운 연동이 가능하다.
아울러 ICAP을 벗어 던진 솔루션이기에 외산대비 30%이상 향상된 성능을 자랑하고 있다.
보안인프라 전반에 걸쳐 효율성을 증대시킬 수 있었다.

소만사는 개인정보보호법, 신용정보법, 전자금융거래법 등 정보보호관련 컴플라이언스를 준수하는 솔루션을 개발한다.
T-Proxy’ 역시 기술적 보호조치를 100% 이행한다.
‘T-Proxy’를 도입한 기업과 기관들은 이를 통해 집단소송/법적처벌 가능성을 최소화할 수 있게 되었다.
T-Proxy는 현재 100곳 이상에 적용되어 각 기업/기관에서 개인정보와 안전한 웹환경을 보장하고 있다.

SSL/TLS 웹트래픽은 매년 꾸준히 증가하고 있으며, 현재도 많은 기업과 기관들이 SSL/TLS 기반으로 전환하고 있다.
비영리기관단체 마저도 말이다. 이제는 SSL/TLS(HTTPS)가 아닌 곳을 찾기 힘들어졌다.



“기껏 암호화하여 안전성을 확보한 SSL/TLS 트래픽을 왜 다시 복호화하여 일을 두번 하는가”라는 부정적인 시선으로 SSL/TLS 복호화를 바라보는 시선도 있긴 하다. 진부한 말이지만,
이제 SSL/TLS 차단은 선택이 아닌 필수사항이다.,

모든 웹서비스는 SSL/TLS로 가고 있기 때문에,
그 SSL/TLS 웹트래픽은 기존 네트워크 보안 솔루션으로는 전혀 차단할 수 없기에
당신의 회사는 반드시 SSL/TLS 웹트래픽 가시성을 확보해야만 한다.

시대의 흐름은 이미 SSL/TLS로 바뀐지 오래다.

패닛스니핑의 위험을 차단하기 위해서 암호화는 필수적인 것이고,
데이터 송수신에서 발생하는 악성코드감염, 개인정보유출 등 보안위협에 대응하기 위해서는
복호화를 통한 가시성 확보 역시 필수적인 것이라 생각한다.



SSL/TLS 가시성확보 및 복호화 수행 소만사 어플라이언스



보안 환경은 시시각각 변화하고 있다.
오늘 안전한 사이트가 내일은 악성코드 배포 사이트가 될 수 있다.
오늘 안전한 PC가 내일은 해커에 의해 PC 관리자 권한이 탈취될 수도 있다.
오늘 듬직하고 믿음직한 동료는 내일 금전적 유혹을 이기지 못하고 정보를 불법조회, 유출할 수도 있다.

보안위협에서 대한민국 네트워크 인프라를 보호하기 위해,
개인정보/기밀정보를 보호하기 위해
소만사는 오늘도 고군분투하고 있다.

유해사이트 차단 솔루션 웹키퍼 SG

네트워크 기반 내부정보 유출방지 솔루션 메일아이

목록