암호화 기술, 혜택은 보안담당자와 해커 동시에 누려

SSL/TLS 암호화 기술의 보편화는 양날의 검
게이트웨이에서 암호화 통신을 복호화하는 것만이 유일한 해법

[보안뉴스 문가용] SSL/TLS 암호화 기술의 발전이 점점 양날의 검처럼 작용해가는 분위기다. 장점은 명백하다. 암호화가 강력해지니 기업의 프라이버시와 보안이 향상되었다. 인터넷을 통해 업무를 보고 거래를 하는 일반 사용자들 역시 혜택을 누리게 되었다. 사실 요즘 세상에 인터넷을 통해 업무를 안 하는 사람들이 어디 있을까? 혜택의 범위가 광범위하다는 말이다. 게다가 검색 엔진들도 결과를 출력할 때 암호화를 사용하기도 한다.

그렇다면 단점은 무엇일까? 범죄자들도 같은 혜택을 누리게 되었다는 것이다. 암호화 때문에 자신들의 신분을 감추고 여러 보안장치들을 아주 간편하게 극복할 수 있게 되었다. 해커들은 계속해서 SSL/TLS를 사용해 멀웨어를 숨기고 있으며, 침입 방지 시스템과 안티멀웨어 서비스를 빠르게 우회하고 있다. 또한 C&C 서버와의 통신도 암호화하기 때문에 탐지도 쉽지 않게 되었다.

델은 얼마 전 이러한 해커들의 행태를 조사해 그 결과를 발표한 바 있다. 해당 보고서를 보면 일단 2015년, SSL/TLS 암호화의 사용이 급증했다는 사실이 먼저 언급된다. 특히 4사분기의 수치가 놀라운데, 모든 웹 연결의 약 65%까지 암호화되었다고 나온 것이다. 때문에 위에서 말한 ‘암호화의 혜택’을 역으로 이용하는 해커들의 공격 또한 이 시기에 크게 늘었다. 가트너는 이런 류의 공격이 2017년까지 50% 증가할 것이라고 예측한 바 있다.

“공격자들은 항상 새로운 공격 루트를 찾습니다. 목적은 한 가지, 취약한 곳을 통해 네트워크를 뚫어 안으로 침투하는 것이죠. 이제 많은 기업들이 사용하고 있는 SSL/TLS는, ‘암호화의 강력함’을 믿는 경향이 강해서인지 의외로 관리자의 손길이 자주 미치지 않습니다. 그래서 상대적인 취약점이 되기 일쑤입니다.” 델 시큐리티(Dell Security)의 드미트리 아이라페토이(Dmitriy Ayrapetoy) 제품 관리 책임자의 설명이다.

이런 현상이 특히나 우려되는 건 현재 네트워크 및 인터넷 구조 상 서버와 보안 애플리케이션들이 암호화 키와 디지털 인증서를 의심 없이 믿도록 설계되어 있기 때문이다. 즉 아직 우리에겐 암호화된 통신이 악성인지 아닌지 판단할 수 있는 능력이 충분치 않다는 것. 아무리 나쁘고 악독한 것이라도 암호화의 옷만 있으면 마법처럼 여러 보안 툴을 빠져나갈 수 있게 된다.

기업 운영진들이 이 트렌드를 파악하지 못할 리 없다. 최근 밴슨 본(Vanson Bourne)에서 세계 500명의 CIO들을 대상으로 실시한 설문에서 90%가 ‘이미 SSL/TLS를 악용한 공격에 대한 경험이 있거나 겪을 걸 예상하고 있다’고 답한 것. 또한 86%는 훔친 디지털 인증서와 암호화 키가 시장에 널리 팔릴 것을 걱정하고 있다고도 답했다. 또한 87%는 공격도 암호화로 인해 숨기는 마당에 현대의 보안 솔루션들은 사실상 무용지물이라고까지 말했다.

“보안 시스템들이 자꾸만 실패를 반복하는 이유는 암호화에 대한 막연한 의존성 때문입니다. 암호화만 되어 있으면 무적인 줄 알아요. 그런 느슨한 마음이 취약점이죠.” 밴슨 본에 위 설문을 의뢰한 베나피(Venafi)의 케빈 보섹(Kevin Bocek) 부회장의 설명이다. 현재 기업들은 키 코딩, 디지털 인증서 서명, 웹 사이트 인증, 소프트웨어 시큐어 코딩 등 모든 기능에 SSL/TLS를 적용하고 있다.

그런데 암호화 키들과 인증서들의 발급은 중구난방으로 실행되고 있다. 중앙관리라는 개념은 사실상 존재하지 않으며, 한 기관 내에서도 여러 부서에서 인증서를 발급하기까지 한다. 누가, 언제, 어떻게, 어떤 이유로 인증서를 발급 받고 했는지, 관리가 되고 있지 않다는 것이다. “게다가 현재 데브옵스(DevOps)라는 개념이 떠오르면서 개발 프로세스가 중앙화가 아니라 분리화가 되기 시작했죠. 그러니 이제 각 유닛별로도 다양한 TLS 및 암호화 키, 인증서를 발급하게 되고, 인증서 관리라는 건 저 멀리 사라지고 있습니다.”

이는 무슨 말이냐면, 악용을 목적으로 해커들이 집어들 수 있는 인증서나 암호화 키가 부쩍 늘어났다는 뜻이다. 게다가 암호화로 의도를 숨길 수도 있게 되었으니 공격자로서는 요즘처럼 좋은 때가 없다는 것.

그렇다면 어떻게 대처해야 할까? 델의 드미트리 아이라페토이는 “게이트웨이에서 SSL 트래픽을 스캔하고 통제하는 수단을 마련해야 한다”고 한다. “방화벽도 그렇고 SSL/TLS 트래픽을 복호화할 수 있는 툴들은 이미 많이 존재합니다. 그런 것들을 활용해야죠. 솔직히 말해서 이제 보안을 위해서는 암호화된 통신을 풀어낼 수 있어야 합니다. 안 그러면 답이 없어요. 안을 들여다보지 못하는데 어떻게 의도를 간파할 수 있겠습니까.”
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)