Home > 전체기사
다가오는 TLS 1.3, 받아들일 준비 되었는가
  |  입력 : 2018-05-14 11:42
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
암호화 트래픽, 프라이버시 보호하지만 멀웨어도 지켜줘
무조건적인 최신화가 아니라, 현 상태 점검부터 진행해야


[보안뉴스 문가용 기자] 전송 계층 보안(Transport Layer Security) 프로토콜 덕분에 네트워크 통신과 인터넷 거래, 이메일 등 모든 정보 교환이 완벽하지 않을지라도 어느 정도의 보호를 받는다. 그리고 이 TLS의 최신 버전인 1.3이 최종 비준 마무리 단계에 있다. TLS 1.3 버전부터는 SSL/TLS 암호화 프로토콜이 모든 종류의 통신에 적용될 것이다. 그렇지만 우리는 TLS 1.3 버전을 받아들일 준비가 되어 있을까?

[이미지 = iclickart]


물론 우리의 준비 상태 여부에 대한 의문이 인다고 해서 TLS 1.3이 도착하는 그날에 모두가 두려워 떨었던 Y2K 버그 같은 사태가 예상되는 건 아니다. 일반 인터넷 사용자들에게는 현재 버전이 TLS 1.3 버전으로 바뀐다고 해서 어떤 큰 변화가 체감될 것은 아니다. 그러나 당신이 보안 전문가라면 TLS 버전 변화 날짜를 달력에 표시해두고 할 일을 해야 할 것이다.

국제인터넷표준화기구(IETF)는 최근 TLS 1.3 버전에 대한 28번째 초안을 통과시켰다. 그리고 앞으로는 이 새로운 표준을 보다 공격적으로 인터넷 구석구석에 적용시켜갈 것이 분명하다. 그러나 TLS 1.3이 온 세상에 일률적으로 적용되지는 않을 것이다. 산업마다, 지역마다, 회사마다 속도는 천차만별일 것으로 예상된다. 웹 트래픽에 대한 의존도가 높은 산업이라면 옛 브라우저의 호환성 때문에 고객들이 접속 못하는 사태가 벌어지지 않도록 하기 위해 도입을 크게 서두르지 않을 것이다. 하지만 규제가 엄격한 산업에 속한 회사라면 싫더라도 TLS 1.3을 빨리 도입할 수밖에 없다.

사이버 방어 체계가 그 어느 때보다 위험한 시기에 TLS 1.3 업그레이드가 이뤄진다는 것은 의미가 적지 않다. 악성 행위자들은 공격을 실시하기 위해 늘 새로운 방법을 모색하는데, 최근의 발견 중 하나는 암호화였다. 암호화 된 트래픽에 악성 내용물을 숨겨 공격을 감행하면 생각보다 많은 보안 장치들을 속일 수 있다는 걸 깨달은 것이다. 가트너도 2019년에는 “멀웨어 캠페인의 절반 이상이 다양한 암호화 기술을 통해 감춰질 것”이라고 예측한 바 있다.

보안을 강화하려는 조직들이라면 당대 최고 및 최신의 방법과 표준들을 도입하는 게 일반적으로는 맞다. 그런 일반론에 따르면 당연히 TLS 1.3도 도입해야 마땅하다. 하지만 그것이 모든 사람과 상황에 반드시 적용되는 것은 아니다. 도입 전에 고려해야 할 것이 있다는 뜻이다. 그건, 지금의 상황과 환경에서 새로운 뭔가를 도입함으로써 다른 변수가 창출되는 것이 있는지, 그것이 혹시 리스크에 해당하는 것인지, 그 리스크는 얼마나 크거나 작은지를 파악하는 것이다.

그리고 암호화 기술은 분명 리스크가 ‘없지 않다.’ 악의나 선의 모두를 감출 수 있는 도구이기 때문이다. 암호화 기술을 새롭게 도입하고도 멀웨어 등의 침투를 막으려면 물리적 혹은 가상의 암호화 트래픽 관리 장비가 필요하다. 하지만 암호화된 트래픽의 가시성을 제공해주는 장비 및 솔루션들이라고 해도 브랜드나 기종에 따라 기능이 천차만별이며, 프라이버시 문제가 민감하게 작용해 최고의 장비도 제대로 성능을 내지 못하기도 한다.

결국 다음 세 가지 중 한 가지를 선택해야 한다.
1) 정말로 검증된 몇몇 트래픽 외에는 전부 차단한다. 대신 사용자 경험이 크게 떨어지게 된다.
2) 암호화된 트래픽은 전부 통과시킨다. 대신 보안이 크게 약화된다.
3) 다운그레이드를 통해 클라이언트와 서버가 모두 호환되도록 한다. 예를 들면 TLS 1.2나 1.1 버전으로 되돌리거나, 보안 옵션을 ‘낮은 등급’으로 바꿔놓는 것이다. 이러면 어느 정도 사용성도 유지되고, 어느 정도 보안성도 유지된다. 하지만 둘 다 만족스럽진 않다.

현장에서 선택할 수 있는 건 대부분 3)번이다. 이 때문에 보안 기술력을 충분히 갖추고 있어도 100% 발휘되지 못하고, 이 틈에 해커들이 치고 들어오는 것이다. 우리는 사용성과 보안성의 균형 맞추기에 늘 실패하고 있는 것이나 다름없다. 3)번을 선택하는 이상, 우리는 TLS가 얼마나 더 버전 업이 되든지, 지금과 크게 다르지 않은 환경 속에서 보안을 논하고 있게 될 것이다.

그렇다면 어떻게 해야 할까? 새로운 TLS 버전이 나올 때, 우리는 어떻게 해야 더 나은 보안의 발전상을 현장에서 누릴 수 있게 될까? TLS 1.3을 맞이할 준비가 우린 되었는가? 이를 위해 스스로 물어야 할 몇 가지 질문이 있다.

1) 우리 조직에서는 복호화된 트래픽이 현재 점검되고 있는가? 프라이버시 논의는 어디까지 이뤄져 있는가?
2) TLS 1.3 등 새로운 표준을 도입하면 트래픽 점검이나 네트워크 퍼포먼스, 기업 문화에 상당한 변화가 있을 것으로 예상되는가?
3) 새로운 표준을 도입하기 위해서 네트워크 아키텍처를 전면 수정해야 하는가?

네트워크 보안 툴을 제대로 갖추고 있지만 트래픽 점검을 하지 않는 조직이라면 리스크 평가를 실시하고 그 결과에 따라 대책을 마련해야 한다. 다 갖추고 그 결점 하나 때문에 모든 보안 장비가 무용지물이 될 수 있기 때문이다. 암호화 트래픽을 제대로 점검하지 못한다는 것이 얼마나 큰 위험요소인지를 인지하고, 산업이나 국가에서 정해준 관련 표준이 있나 확인해 적용하는 것이 중요하다. 사각지대를 최대한 없애라는 것이다.

네트워크 보안 툴도 제대로 갖추고 있으면서 복호화된 트래픽을 점검까지 하는 조직이라면 현재 암호화/복호화 솔루션이 업데이트 되어 있는지, 최신 SSL/TLS 프로토콜과 호환이 되는지 확인해야 한다. 또한 TLS 1.3을 도입함으로써 리스크가 더 커지는 부분이 생기는지, 기존의 문제가 오히려 해결되는지도 같이 점검해야 한다.

TLS 1.3 버전을 ‘빨리’ 도입하는 게 중요한 건 아니다(규정으로 정해진 게 아니라면). 기존 구조와 보안 체계를 가장 덜 흐트러트리고, 그러므로 리스크를 최소화 한 상태에서 1.3 버전을 받아들여야 한다. 그러려면 현재 조직 내 사용자 경험과 프라이버시 및 보안의 균형감부터 시작해 네트워크 구조와 암호화 트래픽 점검 상태까지도 확인할 필요가 있다. 그렇지 않으면 TLS 1.3은 그저 또 하나의 짐거리가 될 뿐이다.

글 : 마크 어반(Mark Urban), Symantec

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 디지털 도어록이 등록되지 않은 스마트워치로 무방비로 열리는 취약점이 발견돼 이슈가 되고 있는데요. 현재 귀하의 집에 설치된 디지털 도어록의 경우 비밀번호와 함께 주로 사용하고 있는 개폐 수단은 무엇인가요?
생체인식
카드키
교통카드(티머니)
스마트워치
스마트폰
기타(댓글로)
      

이노뎁
VMS

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

Videotec
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

쿠도커뮤니케이션
스마트 관제 솔루션

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

한국씨텍
PTZ CCTV

아이티엑스엠투엠
DVR / NVR / IP CAMERA

링크플로우
이동형 CCTV 솔루션

엔토스정보통신
DVR / NVR / CCTV

트루엔
IP 카메라

다민정보산업
기업형 스토리지

비전정보통신
IP카메라 / VMS / 폴

씨오피코리아
CCTV 영상 전송장비

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

디비시스
CCTV토탈솔루션

테크어헤드
얼굴인식 소프트웨어

에스카
CCTV / 영상개선

옵티언스
IR 투광기

옵텍스코리아
실내 실외 센서

구네보코리아
보안게이트

엑사비스
사이보 보안 CCTV

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

일산정밀
CCTV / 부품 / 윈도우

수퍼락
출입통제 시스템

아이엔아이
울타리 침입 감지 시스템

이노뎁
VMS

파이브지티
얼굴인식 시스템

새눈
CCTV 상태관리 솔루션

파이브지티
얼굴인식 시스템

케이티앤씨
CCTV / 모듈 / 도어락

다원테크
CCTV / POLE / 브라켓

티에스아이솔루션
출입 통제 솔루션

엘림광통신
광전송링크

퍼시픽솔루션
IP 카메라 / DVR

금성보안
CCTV / 출입통제 / NVR

지와이네트웍스
CCTV 영상분석

이후커뮤니케이션
CCTV / DVR

지에스티엔지니어링
게이트 / 스피드게이트

넷플로우
IP인터폰 / 방송시스템

아이유플러스
레이더 / 카메라

DK솔루션
메트릭스 / 망전송시스템

두레옵트로닉스
카메라 렌즈

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

KPN
안티버그 카메라

싸이닉스
스피드 돔 카메라

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

창우
폴대

유진시스템코리아
팬틸트 / 하우징

브이유텍
플랫폼 기반 통합 NVR

글로넥스
카드리더 / 데드볼트

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향