Home > 전체기사
다가오는 TLS 1.3, 받아들일 준비 되었는가
  |  입력 : 2018-05-14 11:42
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
암호화 트래픽, 프라이버시 보호하지만 멀웨어도 지켜줘
무조건적인 최신화가 아니라, 현 상태 점검부터 진행해야


[보안뉴스 문가용 기자] 전송 계층 보안(Transport Layer Security) 프로토콜 덕분에 네트워크 통신과 인터넷 거래, 이메일 등 모든 정보 교환이 완벽하지 않을지라도 어느 정도의 보호를 받는다. 그리고 이 TLS의 최신 버전인 1.3이 최종 비준 마무리 단계에 있다. TLS 1.3 버전부터는 SSL/TLS 암호화 프로토콜이 모든 종류의 통신에 적용될 것이다. 그렇지만 우리는 TLS 1.3 버전을 받아들일 준비가 되어 있을까?

[이미지 = iclickart]


물론 우리의 준비 상태 여부에 대한 의문이 인다고 해서 TLS 1.3이 도착하는 그날에 모두가 두려워 떨었던 Y2K 버그 같은 사태가 예상되는 건 아니다. 일반 인터넷 사용자들에게는 현재 버전이 TLS 1.3 버전으로 바뀐다고 해서 어떤 큰 변화가 체감될 것은 아니다. 그러나 당신이 보안 전문가라면 TLS 버전 변화 날짜를 달력에 표시해두고 할 일을 해야 할 것이다.

국제인터넷표준화기구(IETF)는 최근 TLS 1.3 버전에 대한 28번째 초안을 통과시켰다. 그리고 앞으로는 이 새로운 표준을 보다 공격적으로 인터넷 구석구석에 적용시켜갈 것이 분명하다. 그러나 TLS 1.3이 온 세상에 일률적으로 적용되지는 않을 것이다. 산업마다, 지역마다, 회사마다 속도는 천차만별일 것으로 예상된다. 웹 트래픽에 대한 의존도가 높은 산업이라면 옛 브라우저의 호환성 때문에 고객들이 접속 못하는 사태가 벌어지지 않도록 하기 위해 도입을 크게 서두르지 않을 것이다. 하지만 규제가 엄격한 산업에 속한 회사라면 싫더라도 TLS 1.3을 빨리 도입할 수밖에 없다.

사이버 방어 체계가 그 어느 때보다 위험한 시기에 TLS 1.3 업그레이드가 이뤄진다는 것은 의미가 적지 않다. 악성 행위자들은 공격을 실시하기 위해 늘 새로운 방법을 모색하는데, 최근의 발견 중 하나는 암호화였다. 암호화 된 트래픽에 악성 내용물을 숨겨 공격을 감행하면 생각보다 많은 보안 장치들을 속일 수 있다는 걸 깨달은 것이다. 가트너도 2019년에는 “멀웨어 캠페인의 절반 이상이 다양한 암호화 기술을 통해 감춰질 것”이라고 예측한 바 있다.

보안을 강화하려는 조직들이라면 당대 최고 및 최신의 방법과 표준들을 도입하는 게 일반적으로는 맞다. 그런 일반론에 따르면 당연히 TLS 1.3도 도입해야 마땅하다. 하지만 그것이 모든 사람과 상황에 반드시 적용되는 것은 아니다. 도입 전에 고려해야 할 것이 있다는 뜻이다. 그건, 지금의 상황과 환경에서 새로운 뭔가를 도입함으로써 다른 변수가 창출되는 것이 있는지, 그것이 혹시 리스크에 해당하는 것인지, 그 리스크는 얼마나 크거나 작은지를 파악하는 것이다.

그리고 암호화 기술은 분명 리스크가 ‘없지 않다.’ 악의나 선의 모두를 감출 수 있는 도구이기 때문이다. 암호화 기술을 새롭게 도입하고도 멀웨어 등의 침투를 막으려면 물리적 혹은 가상의 암호화 트래픽 관리 장비가 필요하다. 하지만 암호화된 트래픽의 가시성을 제공해주는 장비 및 솔루션들이라고 해도 브랜드나 기종에 따라 기능이 천차만별이며, 프라이버시 문제가 민감하게 작용해 최고의 장비도 제대로 성능을 내지 못하기도 한다.

결국 다음 세 가지 중 한 가지를 선택해야 한다.
1) 정말로 검증된 몇몇 트래픽 외에는 전부 차단한다. 대신 사용자 경험이 크게 떨어지게 된다.
2) 암호화된 트래픽은 전부 통과시킨다. 대신 보안이 크게 약화된다.
3) 다운그레이드를 통해 클라이언트와 서버가 모두 호환되도록 한다. 예를 들면 TLS 1.2나 1.1 버전으로 되돌리거나, 보안 옵션을 ‘낮은 등급’으로 바꿔놓는 것이다. 이러면 어느 정도 사용성도 유지되고, 어느 정도 보안성도 유지된다. 하지만 둘 다 만족스럽진 않다.

현장에서 선택할 수 있는 건 대부분 3)번이다. 이 때문에 보안 기술력을 충분히 갖추고 있어도 100% 발휘되지 못하고, 이 틈에 해커들이 치고 들어오는 것이다. 우리는 사용성과 보안성의 균형 맞추기에 늘 실패하고 있는 것이나 다름없다. 3)번을 선택하는 이상, 우리는 TLS가 얼마나 더 버전 업이 되든지, 지금과 크게 다르지 않은 환경 속에서 보안을 논하고 있게 될 것이다.

그렇다면 어떻게 해야 할까? 새로운 TLS 버전이 나올 때, 우리는 어떻게 해야 더 나은 보안의 발전상을 현장에서 누릴 수 있게 될까? TLS 1.3을 맞이할 준비가 우린 되었는가? 이를 위해 스스로 물어야 할 몇 가지 질문이 있다.

1) 우리 조직에서는 복호화된 트래픽이 현재 점검되고 있는가? 프라이버시 논의는 어디까지 이뤄져 있는가?
2) TLS 1.3 등 새로운 표준을 도입하면 트래픽 점검이나 네트워크 퍼포먼스, 기업 문화에 상당한 변화가 있을 것으로 예상되는가?
3) 새로운 표준을 도입하기 위해서 네트워크 아키텍처를 전면 수정해야 하는가?

네트워크 보안 툴을 제대로 갖추고 있지만 트래픽 점검을 하지 않는 조직이라면 리스크 평가를 실시하고 그 결과에 따라 대책을 마련해야 한다. 다 갖추고 그 결점 하나 때문에 모든 보안 장비가 무용지물이 될 수 있기 때문이다. 암호화 트래픽을 제대로 점검하지 못한다는 것이 얼마나 큰 위험요소인지를 인지하고, 산업이나 국가에서 정해준 관련 표준이 있나 확인해 적용하는 것이 중요하다. 사각지대를 최대한 없애라는 것이다.

네트워크 보안 툴도 제대로 갖추고 있으면서 복호화된 트래픽을 점검까지 하는 조직이라면 현재 암호화/복호화 솔루션이 업데이트 되어 있는지, 최신 SSL/TLS 프로토콜과 호환이 되는지 확인해야 한다. 또한 TLS 1.3을 도입함으로써 리스크가 더 커지는 부분이 생기는지, 기존의 문제가 오히려 해결되는지도 같이 점검해야 한다.

TLS 1.3 버전을 ‘빨리’ 도입하는 게 중요한 건 아니다(규정으로 정해진 게 아니라면). 기존 구조와 보안 체계를 가장 덜 흐트러트리고, 그러므로 리스크를 최소화 한 상태에서 1.3 버전을 받아들여야 한다. 그러려면 현재 조직 내 사용자 경험과 프라이버시 및 보안의 균형감부터 시작해 네트워크 구조와 암호화 트래픽 점검 상태까지도 확인할 필요가 있다. 그렇지 않으면 TLS 1.3은 그저 또 하나의 짐거리가 될 뿐이다.

글 : 마크 어반(Mark Urban), Symantec

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)