News/ Event

SSL/TLS 트래픽의 보안 허점, 해결 방안은? – SSL/TLS 복호화를 통한 가시성 확보 솔루션

[칼럼] | 2019-04-16

주소창 옆 작고 앙증맞은 자물쇠 하나, 바로 SSL/TLS
구글 지메일, 네이버 웹메일, 구글 드라이브, 드롭박스, 인스타그램, 페이스북 등…
하다 못해 일반기업/기관 홈페이지와 NGO단체 홈페이지까지…
우리가 사용하는 대부분의 웹서비스들은 대부분 SSL/TLS 기반으로 만들어져 있습니다.
주소창 옆에 작고 앙증맞은 자물쇠 하나가 새초롬하게 달려있죠.
HTTPS라고 하면 더 이해하기 쉬울까요?
 





SSL/TLS, 원래 금융기관에서 주로 사용했던 기술

SSL/TLS는 기존 HTTP의 한계를 상쇄하기 위해 도입되었습니다.
왜냐하면 HTTP에서는 패킷이 그대로 보였기 때문입니다.
오고 가는 패킷 속에서 비밀번호, 인증번호 등이 노출되면 안됐거든요.
해커들이 탈취할 수 있으니까요.
 
그래서 SSL/TLS는 인증서, 비밀번호가 탈취되면 치명적인 결과를 초래할 수 있는
은행, 증권, 보험 등의 금융 기관에서 주로 사용했던 기술입니다.

  패킷의 송수신이 그대로 보이는 HTTP 프로토콜, 도감청의 위험 있어
하지만 시간이 지날수록 개인정보, 기밀정보에 대한 관심이 두드러졌고
실제로 해커들이 패킷이 송수신되는 채널에 몰래 도청장치를 심어놓고
패킷을 관찰 또는 가로채는 일까지 벌어졌습니다. (이를 패킷 스니핑이라고 하죠)
암호화된 패킷이 송수신 되는 SSL/TLS, 도감청의 위험 없어
정보유출을 걱정한 보안 담당자들은 서둘러 모든 패킷이 암호화되어 오고 가도록 웹서비스를 변경했습니다.
그것이 바로 SSL/TLS입니다.

  SSL/TLS가 적용되면 서버와 클라이언트 PC 사이에 둘만의 암호를 가져
그 외의 사람들은 알아볼 수 없게 됩니다.
해커가 패킷을 가로채는데 성공하더라도 암호화처리 되어 있기 때문에 패킷을 봐도 뭐가 뭔지 알 수 없지요.
 
SSL/TLS 암호화 트래픽은 이제 전세계 프로토콜의 72%를 차지
원래 2015년 기준으로 SSL/TLS 기반 웹서비스는 전세계 프로토콜의 25% 정도 밖에 되지 않았습니다.
국내는 도입속도가 이보다 더딘 편이었습니다.
그런데 어느 순간부터 다음 웹메일, 네이버 웹메일이 SSL/TLS 기반으로 변신을 시작하더니
다른 웹서비스도 하나하나 SSL/TLS 기반으로 바뀌기 시작했습니다.

  왜냐하면 구글에서 SSL/TLS를 적용하지 않은 사이트들은
‘주의 요함: 이 사이트에 접속하는 접속자는 신용카드번호, 비밀번호를 도난당할 수 있음’으로
무섭게 표시했거든요.

  포티넷의 2018년 3분기 ‘글로벌 보안 위협 전망 보고서’에 따르면
SSL/TLS 트래픽은 이제 전체 네트워크 트래픽의 72%이상을 차지한다고 합니다.
금융, 정보통신, 클라우드 등 보안이 중시되는 산업은 이미 80%이상 적용이 완료되었고요.
3년 사이에 약 3배 증가한 셈입니다.

  스니핑 위험에서는 벗어났지만… DDos, APT, 악성코드 공격은?
자, 이제 패킷이 암호화되어 송수신 되니 해커의 정보탈취 위험에서는 벗어났습니다.

  ​ 스니핑 위험에서 벗어났어요!
하지만 해커가 SSL/TLS 웹서비스를 이용해서 역으로 공격을 한다면 어떻게 될까요?
암호화된 패킷이 클라이언트 PC로 전송되기 때문에
송수신자간의 데이터 교환이 일어나는 발생하는 일에 대해서는 깜깜해집니다.
즉 개인정보 유출이나 DDos, APT, 악성코드 공격이 발생할 경우 무력화됩니다.
무엇이 클라이언트PC로 들어왔는지 네트워크에서는 네트워크 보안장비가 파악할 수 없기 때문입니다.
  ​그래서 네트워크 보안장비, DDos, APT 대응장비 및 IPS, IDS 장비들이 제 기능을 발휘하지 못 합니다.
사태를 파악했을 때는 이미 공격을 당한 이후겠죠.

  ​실제로 20만대 이상의 악성코드를 제어하는 C&C서버들이 SSL을 사용하고 있습니다.
기업을 타깃으로 한 네트워크 공격의 50%이 이상이 SSL 트래픽을 이용한다고 합니다.
유명한 랜섬웨어, 봇넷, 루트킷 등은 SSL을 이용하여 공격을 하고 있습니다.
하지만 기존 보안 솔루션은 SSL 가시성을 확보하지 못하고 있죠.
패킷이 암호화되었기 때문에 DLP 솔루션은 내용기반 통제가 안되고
유해사이트 차단 솔루션은 사이트의 차단이 어렵습니다.
IPS/IDS 솔루션은 내가 무슨 공격을 Bypass 했는지도 모를겁니다.

  SSL/TLS 복호화 및 가시성 확보 필요
이러한 상황에서 가장 필요한 것은 바로 SSL/TLS를 복호화해 가시성을 확보하는 기술입니다.
SSL/TLS를 통해 들어오는 패킷을 클라이언트 PC로 들여보내기 전에 복호화한다면
해당 패킷이 평범한 정보인지 아니면 나쁜 마음을 먹고 들어오는 해킹공격인지 파악할 수 있을테니까요.
 
게다가 개인정보가 유출된 후에 후회하는 것보다 아예 패킷을 모두 확인하고 사전에 차단하는게 낫지 않을까요?
시중에 나와있는 SSL/TLS 복호화 솔루션은
443포트를 중심으로 검사하고 복호화하여 보안솔루션에 제공합니다.
보안 솔루션은 정상적인 패킷인지 확인한 후
이를 클라이언트 PC로 중개할지 말지 결정을 합니다.

  조금 더 고도화된 기능을 적용한 솔루션의 경우
  1. 인라인(DLP, IPS, SWG)/미러링(악성코드분석, IDS, 포렌식, APT) 연동방식 지원
  2. 인증서 자동배포
  3. 세션 투명성 보장: 출발지 IP/PORT, 목적지 IP/PORT의 정보변경 없이 유지
  4. 다양한 암호화 프로토콜 커버: HTTPS, SMTPS 등
  5. H/W, S/W 바이패스 기능: 장애가 발생할 경우 바이패스 또는 소프트웨어 자동복구 기능으로 가용성 보장
  6. 이슈분석 자료 제공: SSL/TLS 처리이슈 발생시 디버깅정보 및 pcap파일 다운로드

같은 기능을 제공하기도 합니다.

  소만사의 SSL/TLS 복호화 및 가시성 확보 솔루션은
기획단계부터 보안솔루션과의 일체화를 염두
소만사의 SSL/TLS 트래픽 가시성 확보 솔루션 <T-Proxy v1.0>은 기획단계부터 보안솔루션과의 일체화를 목표로 삼았기 때문에 외산대비 패킷처리 성능이 30%이상 우월합니다.
그렇기 때문에 IPS, APT, IDS, DLP, SWG, 포렌식 장비 등과 연동해도 성능저하가 없습니다.

    네트워크의 흐름은 이제 SSL/TLS!
데이터 송수신에서의 보안위험을 차단하기 위해서는
복호화 솔루션이 반드시 필요합니다.
기껏 암호화한 트래픽을 다시 복호화하다니, 아이러니하다고 생각할 수 있겠습니다.
하지만 시대의 흐름은 이미 SSL/TLS로 바뀌었습니다.
그렇기에 패킷스니핑의 위험을 차단하기 위해서라면 암호화는 필수적인 것이고
데이터 송수신에서 발생하는 보안위험을 차단하기 위해서라면 복호화 역시 필수불가결한 것이라 생각합니다.
변화하는 환경 속에서 끊임없이 발생하고 있는 보안의 허점을 찾아내고 차단하기 위해
소만사는 오늘도 고군분투하고 있습니다.

   







SSL/TLS 복호화 장비는 유해사이트차단, APT, DDos, IDS, IPS 장비와 연동하여 사용할 수 있습니다.
SSL/TLS 복호화 장비는 보통 가시성 확보의 목적으로 사용됩니다.
하지만 개인정보/기밀정보 유출도 막을 수 있다는 사실, 알고 계셨나요?
정확히 말씀드리자면, 가장 중요한 사전통제가 가능합니다.  

소만사에서는 “SSL DLP”라고 부르고 있습니다.

   

“트래픽이 암호화전송 되기 때문에 개인정보유출 사실조차 파악할 수 없는 SSL/TLS 환경”  
해커가 사내정보망에 침입한 후 개인정보/기밀정보를 유출하려고 할 때
사용할 수 있는 유일한 방법은 바로 ‘네트워크’ 입니다.
특히 개인정보, 기밀정보를 유출하고자 할 때,
SSL/TLS를 사용하는 웹서비스를 이용하면 성공할 확률이 높습니다.
왜냐하면 기존의 내부정보 유출방지 솔루션은
트래픽이 암호화 전송되기 때문에 지금 나가는 정보에 무엇이 들어있는지 구분 못하거든요.
  ​ 그냥 패킷이 지나가고 있구나 정도로만 인식할 뿐
그 안에서 아무것도 읽을 수가 없기 때문에 정보유출은 성공하고 맙니다. 치명적이죠.
  “개인정보가 유출될 경우 소송, 기업 이미지하락,형사처벌 위험 발생”
이렇게 유출된 정보는 파급력이 어마어마합니다.
집단소송을 일으키기도 하고요,
기업의 이미지를 추락시킬 수도 있습니다.
최악의 경우 서비스가 아예 폐쇄되거나 회사 자체가 폐업을 하는 경우도 발생할 수 있습니다.

  “SSL DLP, 개인정보유출방지를 위한 강력한 도구”
SSL DLP 솔루션은 위와 같은 최악의 사태를 막아줍니다.
SSL 트래픽을 통한 개인정보/기밀정보 유출을 사전통제하고
사후에 감사자료로 활용할 수 있게 해주기 때문입니다.
그래서 해커가 고의로 개인정보/기밀정보를 유출하려고 해도
내부인의 부주의로 민감한 개인정보를 전송하더라도 사전통제/기록됩니다.  

원리는 아래와 같습니다.

  브라우저를 통해 SSL/TLS로 전송되는 정보는
클라이언트 PC와 네트워크 관문 사이에 위치한 SSL DLP 솔루션이 중개합니다.

  SSL DLP 솔루션은
  1. 밖으로 나가는 패킷을 복호화 한 후
  2. 안에 개인정보/기밀정보가 있는지 분석합니다.
  3. 만약 그 안에 개인정보/기밀정보가 있을 경우 미리 사전에 전송을 차단합니다

  “SSL DLP를 도입할 경우 소송, 형사처벌, 서비스폐쇄 위험 예방 가능”

  SSL/TLS기반 웹서비스를 통한 개인정보유출을 차단하는
SSL DLP 솔루션을 설치한다면 기업/기관은 다음과 같은 효과를 얻을 수 있습니다
 
  1. 국내 개인정보관련 법규를 준수할 수 있습니다
  2. 개인정보/기밀정보의 유출을 사전차단할 수 있습니다
  3. 사전 차단된 로깅기록을 통해 무슨 정보가 무슨 경로로 유출될뻔 했는지 확인하고 대책을 세울 수 있습니다
  4. 더 나아가 집단소송, 형사처벌, 서비스 폐쇄까지 막을 수 있습니다

  “소만사 SSL/TLS 기반 개인정보 유출방지 솔루션 Mail-i”

소만사의 SSL/TLS 기반 개인정보유출방지(DLP: Data Loss Prevention) 솔루션 Mail-i는 설계초기단계부터 SSL/TLS 트래픽 가시성 확보 솔루션 T-Proxy v1.0과의 일체화 계획을 통해 개발되었습니다.

그래서
  1. 프락시와 DLP사이 ICAP연동이라는 무거운 갑옷을 집어던지기 때문에 외산대비 패킷처리 성능이 30% 이상 우월합니다.
  2. 프로토콜 커버리지가 넓어 글로벌 웹서비스는 물론이고 국내에서만 사용하는 SSL/TLS 서비스 역시 정확하게 차단합니다.
  3. 빅데이터 검색엔진을 탑재했습니다. 3년치 데이터는 3분내로 검색이 가능합니다.
  4. 유출되기 전에 사전에 차단하는 것이 가능해졌습니다.
   

  우리나라 제조산업은 세계 최고입니다. 그만큼 보호해야 할 기밀정보/개인정보도 많죠.
그래서 정보보호법이 전세계에 비해 빨리 발달했습니다.
이를 보호하는 기술 역시 가장 먼저 발전했습니다.
그렇기에 DLP 기술은 국내 업체가 세계 최고입니다.
 
Mail-i에 대해 더 자세한 내용을 보길 원하신다면   아래 링크를 클릭해주시면 됩니다
https://www.somansa.com/solution/outflow-control/ssl-tls-network-dlp-solution/
    PDF 다운로드:
https://www.somansa.com/wp-content/uploads/2019/05/SSL-%EB%B0%94%EB%A1%9C%EC%95%8C%EA%B8%B0-SSL-%EA%B0%80%EC%8B%9C%EC%84%B1-%ED%99%95%EB%B3%B4-%EB%B3%B5%ED%98%B8%ED%99%94-%EC%86%94%EB%A3%A8%EC%85%98-.pdf

목록