보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

암호화 통신 늘어나고, 부하 분산 장치 중요해지고

입력 : 2017-01-18 11:03
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
암호화 중요해지면서 컴퓨팅 파워 문제 떠올라
용량 부담 적은 알고리즘 떠오르고, 서버 성능 좋아지고 있어


[보안뉴스 문가용 기자] 온라인 거래량이 폭증하고 있다. 모바일과 사물인터넷 기기 등, 웹과 연결된 엔드포인트들의 수 역시 걷잡을 수 없이 커지고 있다. 그러면서 사이버 보안과 프라이버시 침해에 대한 걱정이 늘어나 암호화된 온라인 트래픽 역시 빠르게 늘어나는 상황이다. 민감한 개인정보나 신용카드 정보를 교류할 때에나 보이던 초록색 내비게이션 바나 자물쇠 아이콘이 이제는 어디서나 볼 수 있는 것이 되었다. 넷플릭스(Netflix)도 영화 스트리밍을 할 때 트래픽을 암호화시킨다. 북미 지역의 모바일 트래픽 중 65%는 이미 암호화되어 있다.


이렇게 암호화된 트래픽이 늘어나게 되면, 네트워크를 구성하고 있는 시스템의 컴퓨팅 파워가 매우 중요한 문제로 부각된다. 그렇기에 데이터센터 내 트래픽 경로의 주요 지점에 설치된 부하 분산 장치의 역할이 특히 중요하다. ‘SSL 종료(SSL termination)’ 혹은 데이터의 복호화가 여기서 이뤄지기 때문이다. 그리고 복호화된 트래픽을 백엔드 서버에 전달까지 해준다. 웹 서버나 애플리케이션 서버가 트래픽 복호화에 컴퓨팅 파워와 시간을 투자하지 않아도 되게 하는 것이다.

암호화 트래픽이 증가함에 따라 부하 분산 장치 배치 및 활용 전략이 중요해지고 있는데, 이는 단순히 ‘성능’의 측면에서만이 아니라 ‘보안’의 측면에서도 그렇다. 네트워크의 데이터 처리 속도 및 성능에 따라 보안성이 결정되기 때문이다. 최근 이것과 연관되어 발전하고 있는 기술 및 운영 방법 등을 알아보자.

1. 용량과 성능과 새로운 암호화 알고리즘들
RSA 기반 2048 비트 공개키 암호화 방식이 현 시점에서는 ‘대세’라고 불릴 만하다. 그런 와중에 엘립틱 커브 크립토그래피(Elliptic Curve Cryptography, ECC)가 서서히 떠오르는 추세다. ECC의 강점은 키의 크기가 더 작다는 것이다. ECC 기반 공개키는 256 비트만으로도 3072 비트의 RSA 공개키와 비슷한 수준의 강력함을 자랑한다. 용량이 작으면 컴퓨팅 파워도 적게 든다. 그러므로 SSL 트래픽을 다루는 게 훨씬 용이해지고, 그러므로 SSL 트래픽을 늘릴 수 있고, 그러므로 네트워크 전체의 보안성이 올라간다.

표준 인텔 x86 서버들의 성능에도 큰 향상이 있었다. 그러면서 가격도 저렴해졌다. 덕분에 구글이나 아마존 같은 거인들이 대규모 클라우드 서비스를 소비자들에게 제공하는 게 가능해졌다. 그저 저장 공간만 큰 게 아니라 속도도 빠르고 안정성도 높다. 향상된 x86 서버에 분산된 아키텍처 구조를 차용하고, 소프트웨어 및 API 기반의 자동화가 도입되니 클라우드의 고질적인 문제인 가시성과 데이터 분석 성능도 풍부해졌다. 보안성이 올라갔다는 말이다.

그래서 표준 인텔 x86 서버들에 소프트웨어 부하 분산 장치를 접목시키는 게 최근 유행처럼 번지고 있는 것이다. 가격 대비 효율이 굉장히 좋은 조합이다. 현재 이 둘의 조합으로 1초에 2500건 이상의 SSL 거래를 처리하는 게 가능해지고 있는데, 36코어 인텔 x86을 사용하면 이게 7만 5천 건으로 늘어난다.

2. 완전 순방향 비밀성의 구축
2년 전 출현해 정보보안 업계를 발칵 뒤집어 놓은 하트블리드(Heartbleed) 버그 및 최근까지 발생한 사이버 스파잉 행위들로부터 우리는 무엇을 배웠는가? 완전 순방향 비밀성(perfect forward secrecy)이 그 어느 때보다 절실히 필요하다는 것이다. SSL 핸드쉐이크가 발생하는 동안, 클라이언트와 서버는 좌우대칭의 세션 키를 주고받게 된다. 다음 세션 때 교환될 대량의 암호화된 데이터를 처리하기 위함이다. 이 때 서버 측의 비밀키가 유출되거나 침해되면, 해커는 데이터 복호화 시 사용되었던 세션 키들에 접근할 수 있게 된다. 그러므로 이전 세션동안 교환된 데이터에까지 손을 뻗칠 수 있게 된다.

완전 순방향 비밀성이란, 일종의 암호화 기술로 이전 세션동안 교환된 데이터만큼은 서버의 비밀키를 해커가 탈취한다고 해도 침해되지 않도록 한다. 이게 가능한 건 완전 순방향 비밀성은 임시 세션 키만을 사용하기 때문이다. 완전 순방향 비밀성을 적용하면 세션마다 고유의 키를 갖게 되며, 해커가 키를 훔쳐내도 딱 하나의 세션에만 접근할 수 있게 된다. 완전 순방향 비밀성이 좋은 건 누구나 알고 있는데, 아직 널리 도입되지 않았던 이유는 단 하나, 컴퓨팅 파워 때문이다.

완전 순방향 비밀성은 TLS 1.2, ECC 디피-헬만 키 교환 알고리즘(Diffie-Hellman key exchange, DHE)과 좋은 조합을 이룬다. ECC의 경우 RSA보다 컴퓨팅 파워 문제를 많이 해결해주기 때문에 완전 순방향 비밀성이 원활하고 빠르게 작동하도록 해준다. 인텔 서버의 지속적인 향상 역시 완전 순방향 비밀성의 확산을 도울 것으로 보인다.

3. 중앙 관리와 하이브리드 클라우드 시스템
소프트웨어를 통한 접근방식을 L4-L7(혹은 L4/L7) 네트워크 서비스에 새롭게 적용하니 부하 분산, 애플리케이션 보안, 데이터 분석 등을 포함한 각종 기능을 중앙에서 통제할 수 있게 되었다. 중앙에서 관리를 할 수 있게 되면 인증서 관리 및 특정 TLS 프로파일 집행이 간단해진다. 또한 SSL 종료, 디도스 방지, L4-L7 ACL을 위한 보안 서비스를 안정적으로 제공할 수 있게도 해준다. 그것도 다량의 개인 및 공공 클라우드 환경에 말이다.

4. 앱 단위 부하 분산과 수평적인 크기 조정
부하 분산 장치를 매년 혹은 주기적으로 새롭게 업그레이드 하는 데 돈을 쓸 수 없을 때 생각해볼 수 있는 전략이 하나 있다. 앱 단위로 부하 분산을 하는 것이다. 즉 여러 애플리케이션에 한 개의 대형 분산 부하 장치를 배치하는 대신 보다 작은 소프트웨어형 부하 분산 장치를 애플리케이션 하나하나에 붙여놓는 것이다. 이렇게 하면 SSL 종료에 드는 컴퓨팅 파워를 자잘하게 분산시킬 수 있게 된다. 남는 컴퓨팅 파워를 특정 애플리케이션 및 서비스에 몰아줘 성능을 높이는 것도 가능해지고, 장비 구매 비용이 많이 절약된다.

5. 실시간 보안 및 실시간 분석
부하 분산 장치는 보통 데이터의 경로 어디 즈음에 위치한다. 그러므로 세션 데이터를 수집할 수도 있고, 클라이언트 측의 TLS 버전 문제나 종료된 인증서가 발견되었을 때, 디도스 공격이 시도될 때, 내부 보안 정책이 잘 설정되지 않은 때, 실시간으로 관리자에게 경보를 발생하는 게 가능하게 된다. 의외의 파수꾼 역할을 할 수 있다는 뜻이다.

일반 기업 네트워크 환경에서 부하 분산 장치의 역할이 점점 중요해지고 있다. 애플리케이션이 늘어나고, 암호화된 통신이 늘어나기 때문이다. 지금 속한 조직의 네트워크에 암호화된 통신이 얼마나 비중을 차지하고 있으며, 그것을 처리하는 데에 있어 필요한 컴퓨팅 파워가 제공되고 있는지 혹은 고르고 효율적으로 자원이 배치되고 있는지를 점검해볼 필요가 있다. 이제 부하 분산 장치는 보안 장비에 준한다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 3
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)