세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > Security
늘어나는 암호화 트래픽, 보지 않은 채 봐야 한다면
  |  입력 : 2018-01-11 16:04
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
“현대의 네트워크, 암호화 기술로 크게 불투명해진 상태”
공격자들도 이 불투명성 활용...프라이버시 지키면서 데이터도 지켜야


[보안뉴스 문가용 기자] 암호화된 트래픽을 어떻게 검사할 것인가? 이 난제를 해결하기 위해 많은 기업들이 저마다의 답을 내놓았고, 시행착오를 겪고 있다. 시스코도 그 중 하나다. 결국 시스코는 이 문제를 해결하기 위해 자사의 ETA(암호화 트래픽 분석) 기술을 공개하기로 결정했다. ETA는 복호화 과정 없이 암호화된 트래픽을 분석하여 악성 행위를 탐지해내는 기술이다.

▲ 안개는 자욱해만 지는데...[이미지 = iclickart]


물론 일반 대중 모두에게 무료로 풀겠다는 건 아니다. 시스코의 기업용 라우팅 플랫폼인 통합 서비스 라우터(Integrated Services Router)와 클라우드 서비스 라우터(Cloud Services Router), 그리고 시스코 캠퍼스 스위치 제품들을 통해서다.

최근 암호화 트래픽은 양날의 검으로 여겨지고 있다. 데이터 스니핑 등의 공격을 고려했을 땐데이터를 암호화하는 게 맞지만, 공격자들 또한 악성 페이로드를 암호화 트래픽 안에 감추기 시작했기 때문이다. 그렇다고 암호화된 트래픽을 복호화한 후 점검하는 것도 안 될 말이다. 시스템 과부하는 물론 프라이버시 보호라는 측면에서도 논란의 여지가 많은 방법이다.

시스코의 최고 엔지니어인 TK 키니니(TK Keanini)는 “현대의 네트워크는 점점 더 불투명해지고 있다”고 말한다. 난무하는 암호화 트래픽 때문이다. “위협 행위자들이 자신들의 행동들을 전부 암호화시키면 의도를 숨길 수 있습니다. 그들 입장에선 간단한 일이죠. 이런 현상이 많은 기업과 조직들을 위협하고 있습니다.”

보안 업체 지스케일러(Zscaler)는 연구조사를 통해 “SSL 암호화 기술을 활용한 악성 위협이 작년 상반기 동안 두 배 증가했다”고 발표하기도 했다. 또한 매일 약 1만 2천 건의 피싱 공격을 차단하는데, 거의 전부가 SSL과 TLS를 통해 전달된다고도 밝혔다. 암호화된 트래픽을 통한 피싱 메일 공격만 봤을 땐 한 해 전 상반기보다 400% 증가한 것이라고 한다.

피싱만이 아니라 암호화 트래픽을 활용한 멀웨어 배포도 눈에 띄게 증가했다. “SSL을 활용한 C&C 통신도 급증했습니다. 드리덱스(Dridex)나 트릭봇(Trickbot)과 같은 뱅킹 트로이목마가 60%를 차지하고 있고, 랜섬웨어가 25%를 차지합니다.” 지스케일러의 연구 책임자인 디펜 데사이(Deepen Desai)는 “지스케일러의 보안 위협 탐지 클라우드 내에서 탐지되는 트래픽의 70%가 암호화되어 있다”며 “더 이상 SSL 트래픽을 그냥 통과시켜서는 안 되는 때가 왔다”고 분명히 말한다.

시스코의 ETA 기술은 이러한 고민을 해결하기 위해 고안된 것으로, 시스코에 의하면 “암호화 트래픽을 검사할 수 있게 하되 복호화를 반드시 필요로 하지 않는다”고 한다. “대신 네트워크의 원격 측정 정보와 머신 러닝을 결합해 악성 트래픽과 정상 트래픽의 차이를 분석하고, 그 자료를 축적해나가는 것이죠.”

원격 측정 정보 중 하나는 최초 데이터 패킷이다. 보통 여기에는 암호화된 콘텐츠와 관련된 중요한 정보들이 포함되어 있다. 또 다른 원격 측정 정보는 패킷 길이와 시간 등이다. 이를 최초 데이터 패킷과 비교하여 트래픽 내 콘텐츠가 어떤 성질의 것일지 힌트를 얻어낸다. 그 다음은 바이트 분포도(byte distribution)라고 하는 정보다. 어떤 식으로 페이로드가 구성되어 있는지를 살피는 것이다.

“ETA의 핵심은 암호화된 트래픽의 ‘관련 정보’를 통해 악성인가 정상인가를 최대한 정확하게 분별하는 것입니다. 콘텐츠를 직접 들여다볼 필요가 없으니 사생활 침해 문제가 생길 필요도 없고요. 암호화된 트래픽을 점검한다고 ‘복호화’를 논하는 건 좋은 방향이 아닙니다. 그건 빈대 잡자고 초가삼간 다 태우는 것과 마찬가지에요. 암호화가 일반 사용자들에게 필요한 이유를 지켜줘야 한다고 생각합니다.” 키니니의 설명이다.

시스코가 ETA를 보다 많은 이들에게 공개하겠다는 것은 “암호화된 트래픽에는 그에 맞는 ‘가시성’ 확보 기술이 필요하다”는 것을 뜻한다. “현대의 사이버 보안이 지켜야 할 건 두 가지입니다. 중요한 데이터와 일반 사용자의 프라이버시가 바로 그것이죠. 한 가지라도 포기하지 않는 게 중요합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 3
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)