블로그

TLS 검사에서 Peter Parker 원칙 다루기

제이 켈리 썸네일
제이 켈리
2019년 12월 9일 게시

"큰 힘에는 큰 책임이 따른다." 볼테르와 처칠을 인용한 이 인용문은 "스파이더맨" 만화에서 피터 파커의 삼촌 벤에게서 따온 것으로 가장 잘 알려져 있습니다. 물론 이 라인의 문화적 우세성의 일부는 TLS 검사를 포함하여(제목에서 알 수 있듯이) 다양한 상황과 주제에 적용될 수 있다는 것입니다.

최근 미국 국가안보국(NSA)은 TLSI(Transport Layer Security Inspection)의 배치와 관련된 잠재적 위험을 해결하기 위해 권고안을 발표했습니다. NSA의 권고안은 또한 TLSI 제품을 배포하고 사용하는 조직의 잠재적인 보안 취약점을 완화하는 방법을 제공했습니다.

TLSI에 대한 간단한 소개: TLSI(TLS 침입 및 검사라고도 함)는 조직이 TLS 또는 SSL(Secure Socket Layer)로 암호화된 네트워크 트래픽을 해독하고 다시 암호화할 수 있도록 하는 프로세스입니다. 오늘날 대부분의 공격이 암호화된 트래픽 속에 숨겨져 있다는 점을 감안할 때, TLSI는 조직에 필수적입니다. 예를 들어, 최신 연구 에 따르면 현재 페이지 로드의 90% 이상이 SSL/TLS로 암호화되고 피싱 웹사이트의 71%가 암호화 인증서를 활용합니다.

오늘날 많은 조직에서는 프록시 장치, 방화벽, 침입 탐지 시스템(IDS) 또는 침입 방지 시스템(IPS)과 같은 전용 장치를 사용하여 TLS로 암호화된 트래픽을 해독하고 다시 암호화하고 있습니다. 일부는 여전히 보안 스택의 데이지 체인 장치를 통해 TLS 암호화 트래픽을 실행하고 있어 모든 보안 장치에서 암호 해독 및 재암호화를 강제로 실시하고 있습니다. TLSI 프로세스 전체는 조직이 암호화된 트래픽에서 잠재적인 위협(맬웨어 등)을 모니터링하는 데 도움을 줍니다. 또한 조직에서는 데이터 유출을 위한 아웃바운드 암호화된 트래픽과 악성 서버에 대한 활성 명령 및 제어(C2) 통신을 모니터링하여 추가 공격 수단을 다운로드할 준비를 할 수 있습니다.

하지만 NSA의 자문에 따르면 TLSI가 배치되고 사용되는 방법과 배치 방법은 조직에 심각한 위험을 초래할 수도 있습니다.

NSA는 자체 권고문에서 TLS 트래픽을 조직의 네트워크 내에서 한 번만 차단하고 검사하도록 권고하고 있습니다. 이 권고문에서는 TLS 트래픽을 포워드 프록시 장치로 복호화, 검사 및 재암호화한 다음 해당 트래픽을 동일한 작업을 위해 다른 포워드 프록시 장치로 보내는 작업은 수행해서는 안 된다고 명확하게 명시하고 있습니다. 이러한 조치는 추가적인 이점을 제공하지 않으면서 위험 표면을 증가시킵니다.

조직에서 TLS 인증서를 적절하게 검증하지 않는 TLSI 제품을 배포하거나 사용하는 경우 TLS 암호화가 약화되어 중간자 공격(MiTM)이 시작될 수 있는 여지가 생길 수 있습니다.

TLSI에 부적절하게 작동하는 전방 프록시 장치가 사용될 경우, 복호화된 트래픽이 승인되지 않은 타사 장치로 리디렉션되고, 중요한 데이터가 도난되거나 오용될 수 있습니다.

NSA의 권고에 따르면, 포워드 프록시로의 네트워크 트래픽 흐름을 모니터링하면 악용 가능성을 완화하는 데 도움이 될 수 있습니다. 또한 TLSI가 제대로 작동하도록 하기 위해 이 권고안에서는 로그 분석을 사용하여 잘못 라우팅된 트래픽을 감지하고 관리자에 의한 의도적이든 의도치 않든 남용이나 오용을 감지하는 데 도움을 줄 것을 제안합니다.

또한 TLSI 제품은 TLS 연결을 체인으로 연결해야 할 가능성이 높으며, 이로 인해 암호화 보호 수준이 낮아지고 취약한 암호화 제품군이나 TLS 버전이 악용될 수 있습니다. 일부 TLSI 제품은 예외적으로 더 약한 TLS 버전과 암호화 제품군을 허용할 수도 있습니다.

대부분의 TLSI 전방 프록시 장치에는 새로운 인증서를 만들고 서명하기 위한 자체 내부 인증 기관(CA)이 포함되어 있습니다. 하지만 내장된 CA는 악성 코드에 서명하여 IDS 및 IPS와 같은 보안 메커니즘을 우회하거나 실제 서비스를 모방하는 악의적인 서비스를 배포하는 데 사용될 수 있습니다. NSA 권고안에서는 조직이 데이터 흐름, TLS, CA를 적절히 구현한 제품을 선택할 것을 권고합니다.

또 다른 공격 영역은 TLSI 장치가 트래픽을 보안 장치로 전송하기 직전에 트래픽을 해독하는 곳일 수 있습니다. 트래픽은 일반 텍스트 형태이므로 공격에 취약하며, 공격자는 이를 통해 사용자 인증 정보와 기타 중요한 데이터를 유출시킬 수 있습니다.

F5 SSL Orchestrator는 암호화된 트래픽이 복호화되고, 적절한 보안 제어 기능을 통해 검사되고, 다시 암호화되도록 보장하여 암호화된 트래픽에 대한 가시성을 제공하고 숨겨진 위협 위험을 완화합니다. SSL Orchestrator는 기존 보안 투자의 효과를 극대화하여 보안 서비스를 동적으로 연결하고, 복호화된 트래픽을 정책을 통해 조정하고, 암호화된 트래픽에 컨텍스트 기반 인텔리전스를 적용합니다. 또한 SSL Orchestrator는 조직의 전체 보안 인프라에서 최신 암호화 기술을 중앙에서 관리하고 배포하여 인증서와 키 관리를 중앙에서 처리하는 동시에 강력한 암호 관리 및 제어 기능을 제공합니다. SSL Orchestrator는 각 보안 서비스의 상태를 독립적으로 모니터링합니다. 또한 F5의 부하 분산 및 확장 기능을 통해 보안 솔루션이 최고의 효율성으로 작동하고 높은 가용성으로 확장될 수 있도록 보장합니다. 또한 보안 및 개인정보 보호에 대한 가장 엄격하고 견고한 정부 및 업계 표준을 지원합니다.

NSA 권고의 강조점은 TLS 암호 해독 및 검사를 한 번만 잘 수행하라는 것입니다. 차세대 방화벽(NGFW)과 같은 올인원 솔루션이 기술적으로 이 개념을 해결할 수 있을 것처럼 보일 수 있지만, 실제로 모든 유형의 암호화된 트래픽과 처리량 요구 사항을 처리하려고 할 때 이는 매우 비실용적입니다. 실제로 필요한 것은 TLS 암호 해독 및 검사를 한 번에 잘 수행하는 가장 좋은 방법이며, 여러 공급업체의 제품을 엄선하여 안전하게 연결하고, 이를 암호 해독/검사/한 번 재암호화 솔루션으로 구성하는 것입니다. 이 솔루션은 보다 유연하고 회복성이 뛰어나며 실용적인 것으로 입증될 것입니다.

F5 SSL Orchestrator를 사용하면 조직에서 포워드 프록시 장치를 연결할 필요가 없습니다. 독립적인 트래픽 모니터링을 수행할 필요가 없으며, 추가 장치 모니터링도 필요하지 않습니다. 풀 프록시 아키텍처이기 때문에 가장 안전한 암호 그룹이나 암호화 방법이 사용됩니다. 다시 말해, SSL Orchestrator는 NSA 권고에서 제기된 모든 위험을 완화하는 동시에 조직이 책임과 권한 간의 확립된 연결 고리에 맞춰 조정할 수 있도록 돕습니다.