세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
암호화된 트래픽 속 프라이버시와 위협거리 찾아내기
  |  입력 : 2017-07-26 16:50
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
트래픽 암호화, 프라이버시도 지키고 멀웨어도 숨기고
프라이버시도 지키고 위협도 몰아내려면? 네트워크에 힌트가 있다


[보안뉴스 문가용 기자] 프라이버시의 가장 소중한 지킴이라면 ‘암호화’가 첫 손에 꼽힌다. 어디선가 번뜩이는 눈들을 멀게 하며, 신용카드 정보가 다른 사람의 손에 넘어나는 걸 막아주고, 나도 모르는 나의 앱 사용 습관이 기록되지 않도록 하고, 비밀번호도 새나가지 않도록 하는 게 바로 암호화 기술이기 때문이다.

[이미지 = iclickart]


그러니 전 세계의 모든 온라인 트래픽의 절반이 지난 2월에 이미 암호화 된 것이고, 심지어 암호화가 필수로 지정된 트래픽 유형도 생겨나는 것이다. 가트너는 2019년까지 기업의 웹 트래픽 중 80% 이상이 암호화될 것이라고 예측하고 있다. 프라이버시 옹호론자들에게는 이것이 매우 기쁜 소식이겠지만, 보안 담당자에겐 꼭 그렇지만은 않다. ‘암호화’란 포장 아래 어떤 내용물이 드나들지 알아내기 힘들 것이라는 뜻이 되기 때문이다.

이것이 바로 암호화가 가진 양면성이자 딜레마다. 프라이버시 보호에서도 사용되지만 공격자들의 의도 감추기에도 똑같이 활용될 수 있다는 것이다. 멀웨어든 당신의 은밀한 비밀이든 암호화 기술 아래선 모두 평등하게 감춰진다. IT 관리자들의 눈을 속이고 각종 웜, 트로이목마, 바이러스들이 침투할 수 있게 된 것이다.

“가트너는 2019년에 벌어질 멀웨어 공격 중 절반이 암호화 기술을 응용해 나타날 것이라고 합니다. 즉 C&C 활동이나 추가 멀웨어 배포, 데이터 탈취 등의 행위를 암호화 기술로 가려놓을 수 있게 되는 것입니다.” 시스코의 수석 엔지니어인 TK 키니니(TK Keanini)의 설명이다. 키니니는 다음과 같이 가트너 보고서 일부 내용을 인용하기도 했다. “가트너에 따르면 멀웨어 제작자들 역시 암호화를 잘 이해하고 있고 최대한으로 활용하고 있습니다. 특히 HTTP가 빠르게 HTTPS로 바뀌어 가면서 암호화된 웹 채널을 통한 멀웨어 최초 배포가 더 빈번하게 발생하는 중입니다.”

미디어 회사 레이싱 포스트(Racing Post)의 보안 책임자인 알란 케인(Alan Cain)은 “페이스북, 트위터, 링크드인과 같은 웹사이트들은 전부 SSL을 사용하고 있지만 라이크재킹(likejacking), 멀웨어 증식, 데이터 유출, 스팸 공격 등에 전부 당한 적이 있다”며 “현재 보안 시스템의 80%가 SSL 트래픽 안에 숨어 든 위협을 알아보거나 방지하지 못하기 때문”이라고 설명한다. “결국 암호화를 악용한 멀웨어 공격이 가장 큰 위협이 되고 있는 상황입니다.”

그래서인지 가트너 역시 2020년까지 전 세계의 조직들 중 60%가 HTTPS 트래픽을 효과적으로 복호화하지 못하여, “표적형 웹 멀웨어를 대부분 탐지하지 못할 것”이라고 예측하고 있다. 문제는 그때 즈음이면 암호화된 트래픽의 70%에 웹 멀웨어가 담겨있을 것으로 예측된다는 것이고, 이러한 위협에 대응할 만한 방법들은 ‘프라이버시 침해 기술’이라는 오명을 써 발전이 더뎌질 전망이라는 것이다. 아무리 규모가 큰 IT 팀이라고 해도 간과할 수 없는 문제다.

현재까지는 암호화 트래픽 안에 섞여 들어오는 멀웨어를 막는 방법은 차세대 방화벽 등을 활용해 트래픽을 복호화한 후 그 안을 들여다보는 것이 가장 보편적이다. 확실하지만, 시간이 소요되는 방법이다. 게다가 복호화를 위한 추가 장비나 솔루션을 도입하는 것도 필요하다. 그 자체로도 이미 공격 면적을 넓히는 일이고, 위협은 점점 더 커지게 된다. 비용도 만만치 않게 들고 효과가 100%라고 할 수도 없다.

그렇다고 암호화된 트래픽 안에 숨겨진 악성 내용물을 보지도 않고 막아낼 뾰족한 수가 있는가? 시스코의 연구원들은 “그림자를 찾으면 된다”고 말한다. 시스코의 기술 책임자 블레이크 앤더슨(Blake Anderson)과 고급 시큐리티 연구 그룹의 데이비드 맥그루(David McGrew)는 트래픽을 직접 들여다보지 않고 ‘힌트’를 찾는 방법을 최근 개발해 보안 커뮤니티에 알려왔다. 이들은 “상황별 데이터 흐름에 따라 암호화된 멀웨어 트래픽 식별하기”라는 보고서를 발표했다.

“암호화된 네트워크 트래픽에 숨겨진 위협들을 찾아낸다는 건 여러 가지로 어려운 일일 수밖에 없습니다. 그렇지만 암호화된 트래픽은 암호화 기술을 깨지 않고 들여다봐야 의미가 있습니다. 그것이 암호화 기술의 본질이죠. 의도된 사람 외에는 아무도 내용을 볼 수 없게 하는 것이요.” 이 둘이 개발한 건 고유하고 다양한 네트워크 플로우 데이터 특성(data feature)을 사용하는 지도 학습(supervised) 모델로, 머신 러닝을 기반으로 하고 있다. “데이터 특성에는 TLS 핸드셰이크 메타데이터, 암호화 플로우에 연결된 DNS 맥락적 플로우, 동일한 소스 IP 주소로부터 5분간 발생한 HTTP 맥락적 플로우의 HTTP 헤더들이 포함되어 있습니다.”

앤더슨과 맥그루는 악성 트래픽과 정상 트래픽의 차이를 면밀히 분석했다. 특히 TLS, DNS, HTTP를 이 두 가지 종류의 트래픽이 어떤 식으로 다루고 사용하는지를 중점적으로 관찰했다고 한다. “고유한 플로우를 수백만 건 관찰했습니다. 그리고 멀웨어가 들어있는 트래픽들을 통해 악성 트래픽의 가장 큰 특징들을 골라냈죠.” 그런 후 실제 현장에서 이 결과를 실험해보았다. 잘못된 경보가 발령되는 경우를 잡아내기 위해서였다. 앤더슨과 맥그루는 자신들이 발견한 이 ‘힌트 찾아내기’ 기술을 ETA라고 명명했다. 암호화된 트래픽 분석(Encrypted Traffic Analytics)의 준말이다.

“ETA는 결국 암호화된 데이터에서 세 가지 특징들을 찾아내는 것”이라며 두 전문가는 그 세 가지 특징에 대해 다음과 같이 설명했다. “연결이 성립되었을 때의 최초 데이터 패킷이 중요한 힌트가 됩니다. 이 패킷에는 나머지 콘텐츠에 대한 귀중한 정보가 담겨 있을 수 있습니다. 두 번째는 패킷 길이와 시간에 대한 시퀀스입니다. 암호화된 플로우의 시작 부분과는 또 다른 중요한 힌트를 제공합니다. 물론 트래픽 콘텐츠에 관한 것입니다. 마지막은 아무래도 분석되고 있는 플로우 내 패킷 페이로드를 관통하는 바이트 분포도(byte distribution)입니다. ETA가 머신 러닝을 기반으로 하고 있기 때문에 이러한 분석 과정에 드는 시간은 점점 짧아지고 있기도 합니다.”

이번 주 시스코는 ETA 기능을 새로운 카탈리스트 9000 스위치 시리즈의 고급 넷플로우와 시스코 4000 시리즈 통합 서비스 라우터와 페어링 해 출시했다. 여기에 시스코의 스텔스와치(Stealthwatch)라는 고급 보안 분석 툴도 함께한다. 시스코의 마케팅 부회장인 프라샨스 쉐노이(Prashanth Shenoy)는 “시스코의 장비에 최신 보안 기술을 녹여낸 솔루션을 결합시킨 상품을 지속적으로 만들어내 시장에 공개하고 있다”며 “이런 노력을 수년 동안 진행해온 덕분에 다각도에서 보안을 꾀할 수 있는 포트폴리오가 완성되었다”고 설명했다. “현재 시스코의 보안 아키텍처는 ‘네트워크를 센서이자 사법 기관으로서 활용해 모든 위협을 탐지하고 공격에 대응한다’는 원칙에 입각해 있는 상태입니다.”

결국 전 세계 어디든 시스코의 장비를 지나가는 트래픽은 하나의 거대한 위협 탐지 시스템에 첩보를 제공하게 된 셈이다. 이 시스템은 언제 어디서고 위협들을 탐지해 막아낼 수 있을 만큼 강력하고 말이다. “대화를 하다보면 상대방의 말보다 제스처나 표정에서 더 많은 정보를 얻는다고 하죠. ETA도 그런 개념입니다. 트래픽의 내용을 보기보다 트래픽의 ‘행동 양식’을 살펴 더 많은 정보를 얻어낼 수 있습니다.”

시스코는 현재와 미래의 고객들에게 ETA라는 강력한 기능을 하드웨어와 함께 제공할 계획이다. “ETA가 있으면 트래픽을 느려지게 하지도 않으면서 실시간으로 분석할 수 있습니다. 강력한 칩셋으로 구성된 시스코의 새 장비들을 통해 이러한 혜택을 누리실 수 있을 겁니다.” 이미 시스코의 장비를 설치한 기업과 조직들이 전 세계 곳곳에 있고 하드웨어 분포도에 있어서는 타의 추종을 불허하기에 시스코의 머신 러닝의 학습 속도 역시 세계 최고가 될 것으로 보인다. “그렇다는 건 보다 빠른 시간 안에 보다 정확한 위협 탐지 서비스를 고객들에게 제공할 수 있을 거라는 뜻이죠.”

스텔스와치와 ETA가 결합하면 암호화된 트래픽에서 멀웨어를 찾아낼 수도 있고, 암호화 기술과 관련된 컴플라이언스도 해결할 수 있게 된다. “TLS 정책 위반 사항들을 드러내거나 암호화 스위트 취약점들을 밝혀내거나 네트워크 불투명도를 지속적으로 모니터링 하는 기능을 가지고 있거든요. 즉 네트워크가 자체적으로 위협을 탐지해내기도 하거니와 암호화된 트래픽과 관련된 주요 문제점들을 보안 관리자에게 알려준다는 겁니다.” 프라샨스의 설명이다.

“머신 러닝이 트래픽 패턴의 메타데이터를 분석하게 함으로써 시스코는 처음으로 암호화된 트래픽의 위험요소들까지도 식별해낼 수 있게 되었습니다. 프라이버시와 보안을 모두 지킬 수 있게 되었다는 것입니다.”

글 : 제이슨 데인(Jason Deign)
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



보안 전문가 2명 중 1명은 주말에도 일합니다. 여름 휴가도 마찬가지일 것 같은데요. 보안 인력의 휴식권에 대해 어떻게 생각하시나요?
제대로 쉬려면 보안 인력을 늘리는 수밖에 없다
보안 업무의 특성상 휴식권을 보장하기 어렵다. 감수해야 한다
국가적 차원에서 보안 인력의 근로 조건을 개선해야 한다
제대로 못 쉬는 대신 금전적으로 보상하면 된다
보안 인력에 대한 인식과 처우가 낮다는 게 근본적인 문제다
기타(댓글로)