블로그

새로운 연구에서 TLS 1.3 구현을 주도하고 제한하는 요소가 밝혀짐

레이첼 샤 썸네일
레이첼 샤
2022년 11월 18일 게시

4년 전, 메건 마클은 해리 왕자와 결혼했습니다. 그 사이 시어스는 파산 신청을 했고 세상에는 보기 드문 슈퍼 블루 블러드 문이 나타났습니다. Toys “R” Us도 모든 매장을 닫았고, Apple은 시가총액이 1조 달러를 돌파한 최초의 미국 상장 기업이 되었습니다.

2018년이 IETF(인터넷 엔지니어링 태스크포스)에서 TLS 1.3을 승인한 해이기도 하다는 점을 잊지 마세요.

그 이후로 조직에서는 가장 널리 사용되는 암호화 프로토콜 중 하나의 최신 버전인 TLS 1.3을 채택하는 데 따른 이점과 과제를 평가할 충분한 시간을 갖게 됐습니다. TLS 1.3은 인터넷의 데이터 보안과 개인 정보 보호를 구현합니다.

회사에서 TLS 1.3을 구현한 이유(또는 아직 구현하지 않은 이유)를 이해하기 위해 Enterprise Management Associates(EMA)는 "TLS 1.3 4주년: 구현 및 네트워크 모니터링에 대해 무엇을 배웠는가?”

F5가 후원한 EMA 연구에는 기술 서비스, 금융, 의료 등 산업 전반에 걸쳐 북미 지역 기술 및 비즈니스 리더들의 의견이 포함됩니다. 참가자들은 기업이 정보 보안과 규정 준수의 우선순위를 어떻게 정하고 있는지, 그리고 데이터 보안과 개인정보 보호 규정이 보안 우선순위의 방향에 어떤 영향을 미쳤는지에 대해 강조합니다.

보고서에서 도출된 세 가지 결론은 다음과 같습니다.

1.       규제 및 공급업체 통제, 향상된 데이터 보안, 원격 작업이 도입을 촉진합니다.

지난 몇 년 동안 기업 및 기술 리더들은 데이터 보안과 개인정보 보호 표준을 최우선으로 여겨왔습니다. 따라서 연구 참가자들이 TLS 1.3을 구현하는 주요 동인으로 향상된 데이터 보안 및 개인 정보 보호를 꼽은 것은 놀라운 일이 아닙니다. 실제로 설문 조사에 참여한 사람의 85%가 TLS 1.3 구현의 가장 큰 이점으로 데이터 보안을 꼽았습니다.

또한, 기업들이 COVID-19 팬데믹에 적응하면서 원격 근무의 지속 가능성과 민감한 데이터 및 회사 지적 재산을 안전하게 처리해야 할 필요성이 TLS 1.3 도입에 영향을 미쳤습니다. 그림 1에서 알 수 있듯이, 응답자의 76%가 원격 직원의 비즈니스 트래픽에 TLS 1.3을 사용합니다.

그림 1: TLS 1.3을 구현한 설문 조사 대상 조직은 원격으로 작업하는 직원의 비즈니스 트래픽이 TLS 1.3을 사용하여 암호화되는지에 대해 응답했습니다.

2.       가시성과 모니터링 고려사항이 가장 큰 장애물입니다.

HIPAA 및 EU의 일반 데이터 보호 규정(GDPR)과 같은 공급업체 및 규제 통제에도 불구하고 조직은 그림 2에서 보여지는 것처럼 환경 내 보안 및 모니터링 계획에 대한 예상 영향으로 인해 TLS 1.3을 추진하는 데 어려움을 겪고 있습니다. 게다가, 이러한 유형의 통합이 어려울 수 있다는 사실은 누구나 아는 사실입니다. 그래서 많은 조직에서는 결정을 내리는 대신 마이그레이션 계획을 세우고 TLS 1.3보다 구현이 쉽고 방해가 적은 임시방편 솔루션을 평가할 시간을 벌고 있습니다.

가시성 상실은 설문 참여자의 96%에게 일시적 중단을 초래했습니다. 결국 TLS 1.3을 구현한 응답자의 44%는 트래픽 가시성 손실로 인해 구현을 롤백해야 했으며, 응답자의 4분의 1 이상은 프로토콜로 인한 트래픽 가시성 부족으로 보안 침해를 겪었을 수 있다고 생각합니다.

그림 2: TLS 1.3을 구현하지 않은 설문 조사 대상 조직은 조직과 관련하여 TLS 1.3을 배포하는 데 잠재적인 문제를 평가했습니다.

3.       리소스 및 구현 비용이 상당합니다

그림 3에서 볼 수 있듯이, TLS 1.3을 구현한 조사 대상 조직의 87%는 통합을 수용하기 위해 일정 수준의 인프라 변경이 필요했습니다. 네트워크 토폴로지를 업데이트하는 것은 많은 사람에게 힘든 일입니다. 시간이 많이 걸리고 비용도 많이 듭니다. 이미 보안 인력이 부족하고, 경쟁적인 비즈니스 요구 사항과 비교했을 때 사업적 가치가 매우 낮다는 인식이 있는 상황에서 이 규모의 프로젝트를 구현하기 위해 자원을 투입하는 것은 정당화하기 어렵습니다(81%).

그림 3: TLS 1.3을 구현한 설문 조사 대상 조직은 TLS 1.3을 활성화하는 데 네트워크/보안 아키텍처를 변경해야 하는지 평가했습니다.

여러 변수가 TLS 1.3 도입에 계속 영향을 미칠 것이지만, 한 가지 확실한 것은 TLS가 권장되는 데이터 개인 정보 보호 프로토콜로서 계속 사용될 것이라는 것입니다.

현재 모든 인터넷 트래픽의 약 90%가 암호화되어 있으며, 그 숫자는 계속해서 증가하고 있기 때문에 보이지 않는 것이 자신을 해칠 수 있습니다. 사이버범죄자들은 TLS 버전과 관계없이 악성 페이로드를 숨기기 위해 암호화된 트래픽을 끊임없이 이용합니다. 이를 검사하지 않으면 조직이 취약해질 뿐입니다.

EMA 전체 보고서 에서 기술 및 비즈니스 리더들이 TLS 1.3 구현에 대해 말하는 내용을 자세히 알아보고 SSL/TLS 암호화 트래픽(특히 TLS 1.3으로 암호화된 인바운드 및 아웃바운드 트래픽)의 가시성과 오케스트레이션이 오늘날 왜 그렇게 중요한지 이해하세요.