SSL 단점, 약점, 문제점과 SSL 가시성 확보 웹프록시

* 2022.03.31

최근에는 웹트래픽의 약 80%가 SSL/TLS 기반의 암호화웹이다. 

악성코드 유포 서버마저도 암호화웹에서 시작되고 있으니 

SSL/TLS 가시성 확보는 당연한 일이 되었다. 

이제는 HTTP 일반패킷으로만 제작된 홈페이지는 별로 들어가고 싶지 않다.

크롬에서도 조심하라고 경고할 정도이니 ...  

 

 

직업이 직업이다보니 IT 기술적인 부분을 요즘 작성하고 있다 

나름 열심히 찾아보고 공부하고 쉽게 쓰려고 노력하지만

전공자가 아니기에 완벽하게 쓸 수는 없는 것. 더 배워야지. 

 

SSL/TLS 웹트래픽이 최근1년의 관심사다.

 

얘는 마치 한의학에서 언급되는 약재 같더라. 

신비의 명약이지만 잘못 쓰면 사람 심장 혈관 아작내고 바로 인생 퇴사하는 그런 ... 

 

이놈이 대체 무슨 문제가 있는지, 어디에 도움이 되는지,

어떤 문제를 해결하면 우리 삶에 도움을 주는지를 면밀히 찾아보았다. 

잘 쓰면 약이고, 못 쓰면 독같은 존재더라고. 

 

구글 지메일, 네이버 웹메일, 다음 웹메일, 구글 드라이브, 오피스365 원드라이브, 페이스북, 인스타그램 등은 물론이고 

일반기업과 공공기관의 홈페이지와 하다못해 비영리단체들의 홈페이지까지 요즘은 죄다 SSL/TLS 기반으로 만들어졌다. 

 

지금 이 글을 쓰고 있는 티스토리 블로그도 마찬가지이고. 

 

당신이 지금 크롬창을 통해 이 글을 보고 있다면

좌측 상단 주소창을 보면 자물쇠 하나 살포시 그려져있는 걸 볼 수 있을 것이다. 

 

자물쇠가 뙇

 

 

자물쇠를 클릭하면 이런 창을 볼 수 있다

 

보안 연결(HTTPS)이 되어있다고 표시된다. HTTP에 Secure가 추가되어서 HTTPS 라고 불린다 카더라. 

결국은 SSL/TLS이다. 요즘은 SSL 또는 TLS로 많이 불린다. 

 

SSL/TLS는 기존 HTTP의 한계를 상쇄하기 위해 도입되었다. 

왜냐하면 HTTP는 패킷이 평문상태로 오고가기 때문에 해커가 스니핑만 하면 해킷이 그대로 노출될 수 있었기 때문이다. 금융정보, 비밀번호, 개인정보가 탈취되어 해당 정보로 고객이 금융사고의 피해자가 된다면 은행도 무사할 수 없기 때문에 금융기관이 주로 사용했다. 그래서 초기에는 로그인, 계좌이체, 공인인증 등의 행위를 수행할 때 쫙 다 SSL/TLS 기반으로 전송이 되었다. 클라이언트PC와 서버만 서로 속닥속닥 할 수 있도록. 중간에 해커가 아무리 패킷을 가로채도 패킷 하나하나가 암호화로 포장되어 있기 때문에 복호화 키 없으면 해독도 못하는거. 

 

 

하지만 시간이 지날수록 개인정보와 기밀정보에 대한 관심이 심히 두드러지면서 일반 기업기관들의 웹서비스에다가 해커들이 도청장치를 심어놓고 염탐하고 중요정보들을 가로채는 일들이 벌어지기 시작했다. 전문용어로 패킷스니핑이라고 부르더라. 금융 부분에서만 조금 신경쓰면 되는 줄 알았는데, 평범하게 오고가는 메일과 메신저 속에 있는 정보를 가지고도 악용을 하게 되니 이 부분도 신경을 써야만 했다. 

 

평범한 정보도 포함되어 있겠지만 업무효율성을 이유로 개인정보도 메신저로 메일로 턱턱 보내버리는 일이 발생하자, 보안담당자들은 서둘러 모든 패킷이 암호화되어 오고갈 수 있도록 웹서비스를 변경했다. SSL/TLS 기반으로. SSL/TLS가 적용되면 서버와 클라이언트 PC 사이에 둘만의 암호를 가지고 왔다갔다 자신들만의 비밀편지를 교환 할 수 있기 때문에 그 외의 사람들은 알아볼 수 없게 된다. 해커가 패킷 훔치는데 성공해도 비밀번호 모르면 뭐가 뭔지 모른다는 소리다. 도감청의 위험이 사라진 것이다. 

 

 

첫 조사를 시작했던 2015년 즈음에는 SSL/TLS 웹서비스가 이렇게 활성화되지는 않았다. 국내는 특히. 기껏해야 금융기관 웹페이지와 구글정도 사용했던 것 같다. 전세계적으로는 25%라고는 했지만 체감은 되지 않았었다. 

 

하지만 어느 순간부터 다음 웹메일도 SSL/TLS로 변신하고, 네이버 웹메일도 SSL/TLS로 변신하고, 우리회사 홈페이지도 SSL/TLS 기반으로 변신을 시작하더니 다른 웹서비스도 거의 다 SSL/TLS 기반으로 바뀌기 시작했다. 

 

왜냐하면 구글에서 SSL/TLS를 적용하지 않은 사이트들은 대놓고 "주의 요함 - 이 사이트를 접속하는 접속자는 신용카드번호, 비밀번호를 도난 당할 수 있음"으로 무섭게 표시했기 때문이다. 뭔가 들어가면 큰일날 것 같은 느낌으로 표시해두었다. 

 

포티넷의 2018년 3분기 글로벌 보안위협 전망 보고서에 따르면 SSL/TLS 트래픽은 이제 전체 네트워크 트래픽의 72% 이상을 차지한다고 하더라. 금융이나 정보통신 산업은 작년 초 80%이상 적용되었다 했으니 이제는 90%이상 적용되었을 것 같다. 4년 사이에 3.5배 정도 늘어난 것이다. 지금은 SSL/TLS가 아닌 곳을 찾기 어려워졌으니까. 

 

 

 

이제 패킷이 암호화되기 때문에 패킷 스니핑 위험에서는 벗어난 것이 맞다. 

 

 

하지만 역으로 해커가 SSL/TLS 웹서비스를 이용해서 역으로 공격을 수행한다면 어떻게 될까? 암호화된 패킷이 클라이언트 PC로 전송되기 때문에 송수신자 간의 데이터 교환이 발생하는 프로세스에 대해서는 보안담당자도 패킷을 깔 수 없다. 해커도 못 보지만 나도 못 본다... 

 

즉 개인정보 유출, DDos, APT, 악성코드, 랜섬웨어 공격이 발생할 경우 기존 미러링 기반 솔루션으로는 무력화된다. 못 보니까! 무엇이 클라이언트 P로 들어왔는지, 네트워크에서는 네트워크 보안장비가 파악을 못하게 된다. 

 

그래서 네트워크 보안장비, DDos, APT대응장비, IPS, IDS 등의 장비등이 제 기능을 발휘하지 못하게 된다. 뭐가 나갔는지 알 수가 없으니 사태를 파악하는 것도 어렵고, 모르고 지나갈 확률도 높고, 다른 곳에서 사건이 터졌는데 알고보니 우리회사에서 나간 개인정보임을 깨닫게 되었을때는 이미 퍼질대로 퍼진 상태일 것이다. 

 

 

실제로 20만대 이상의 악성코드를 제어하는 C&C서버들이 SSL/TLS를 사용하고 있다고 한다. 기업을 타깃으로 한 네트워크 공격의 50%이 이상이 SSL/TLS 트래픽을 이용한다고 한다. 유명한 랜섬웨어, 봇넷, 루트킷 등은 이미 진작에 SSL/TLS를 이용하여 타깃을 대상으로 공격을 수행하고 있다. 

 

하지만 기존 미러링기반 보안 솔루션은 SSL/TLS 가시성을 확보하지 못하고 있다. 

 

패킷이 암호화되었기 때문에 DLP 솔루션은 내용기반 통제가 안되고 유해사이트 차단 솔루션은 사이트의 차단이 어렵다. IPS/IDS 솔루션은 내가 무슨 공격을 Bypass 했는지도 모를 것이다. 

 

이러한 상황에서 가장 필요한 것은 바로 SSL/TLS를 복호화해 가시성을 확보하는 기술일 것이다. SSL/TLS를 통해 들어오는 패킷을 클라이언트 PC로 들여보내기 전에 복호화한다면 해당 패킷이 평범한 정보인지 아니면 나쁜 마음을 먹고 들어오는 해킹공격인지 사고가 발생하기 전에 파악하고 조치를 취할수 있을 것이다. 조금 번거로울 수는 있다. 굳이 암호화한 것을 왜 다시 복호화하냐고 물어볼 수는 있겠다. 하지만 개인정보가 유출된 후에 땅을 치고 후회하는 것보다 아예 패킷을 모두 확인하고 사전에 차단하는게 낫지 않을까 하는 것이 나의 생각이다. 유출되거나 악성코드에 감염되어 회사 데이터 다 변조되고 복구 불가능해지면 진짜 돈으로도 돌이킬 수 없으니까. 

 

시중에 나와있는 SSL/TLS 복호화 솔루션은 443포트를 중심으로 검사하고 복호화하여 보안솔루션에 제공하고 있다.

보안 솔루션은 정상적인 패킷인지 확인한 후 이를 클라이언트 PC로 중개할지 말지 결정을 한다.

 

조금 더 고도화된 기능을 적용한 솔루션의 경우

1. 인라인(DLP, IPS, SWG)/미러링(악성코드분석, IDS, 포렌식, APT) 연동방식 지원

2. 인증서 자동배포

3. 세션 투명성 보장: 출발지 IP/PORT, 목적지 IP/PORT의 정보변경 없이 유지

4. 다양한 암호화 프로토콜 커버: HTTPS, SMTPS 등

5. H/W, S/W 바이패스 기능: 장애가 발생할 경우 바이패스 또는 소프트웨어 자동복구 기능으로 가용성 보장

6. 이슈분석 자료 제공: SSL/TLS 처리이슈 발생시 디버깅정보 및 pcap파일 다운로드

같은 기능을 제공하기도 한다. 

 

소만사의 SSL/TLS 트래픽 가시성 확보 솔루션 <T-Proxy v1.0>은 기획단계부터 보안솔루션과의 일체화를 목표로 삼았기 때문에 외산대비 패킷처리 성능이 30%이상 우월하다. 외산처럼 연동관련 ICAP을 탑재하지 않았기 때문이다. 그렇기 때문에 IPS, APT, IDS, DLP, SWG, 포렌식 장비 등과 연동해도 성능저하가 없다. 

 

또 한번 이야기하는 말이지만 기껏 암호화한 트래픽을 다시 복호화하다니, 아이러니하네, 일을 두번하네 라고 생각할 수 있다. 하지만 시대의 흐름은 이미 SSL/TLS로 바뀌어 SSL/TLS가 아닌 웹사이트를 찾기가 힘들다. 

 

그렇기에 패킷스니핑의 위험을 차단하기 위해서라면 암호화는 필수적인 것이고 데이터 송수신에서 발생하는 보안위험을 차단하기 위해서라면 복호화 역시 필수불가결한 것이라 생각한다. 

 

정말 보안환경을 시시각각 변화한다. 장수하는 솔루션도 있지만

무력화되어 더 이상 쓸모가 없어지면 사용하지 않는 기술도 있을 정도로 보안위협은 계속 진화한다. 

 

소만사 뿐만 아니라, 국내외의 보안개발자들은 변화하는 환경 속에서 끊임없이 발생하고 있는 보안의 허점을 찾아내고 차단하기 위해 고군분투하고 있다. 저도 도움되도록 글 좀 잘 쓰겠습니다.ㅠㅠㅠㅠ 

 

 

 

참고자료: 

 

SSL/TLS 칼럼 : https://www.somansa.com/introduce/newsevent/ssl_tls_traffic_solution/?npage=3

 

소만사 웹키퍼 : https://www.somansa.com/solution/safe-browsing/ssl-tls-solution-webkeeper/

개인정보보호 1위기업 소만사

 

소만사 메일아이: https://www.somansa.com/solution/outflow-control/ssl-tls-network-dlp-solution/

개인정보보호 1위기업 소만사

소만사 블로그: https://blog.naver.com/best_somansa/221479832872

SSL/TLS 트래픽의 보안 허점, 해결 방안은? - SSL 가시성 확보 복호화 솔루션! (SSL 단점, 약점, 문제점)