HTTPS 시대 성큼.."보안 취약점 막아라"

성지은기자 2017. 10. 25. 06:02
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
암호화 트래픽 내 숨은 위협 등 허점 막는 솔루션 확대

<아이뉴스24>

[아이뉴스24 성지은기자] HTTP 보다 보안을 강화한 HTTPS 웹사이트가 확대되고 있다.

그러나 HTTPS 적용에 따른 보안 취약점 역시 발생하는 상황. 이에 보안 기업들은 보안 허점을 막는 솔루션을 잇따라 선보이며 변화하는 환경에 신속하게 대응하고 있다.

25일 업계에 따르면 HTTPS 환경이 확대되면서 관련 보안 취약점 역시 높아지고 있다.

최근 구글이 발표한 투명성보고서에 따르면, 구글 상위 인기 웹사이트 100개 중 71개가 HTTPS로 암호화되고 있다. 1년 전 37개 사이트가 HTTPS를 사용하던 것에 비해 2배 가량 증가한 것.

포티넷 또한 올해 2분기 글로벌 위협 전망 보고서에서 HTTPS 비율이 크게 증가했다고 발표했다. HTTPS 비율이 2분기 연속 최고치를 기록하며 전체 트래픽의 57%로 증가했다.

◆HTTPS, 보안 강화하면서 한편으론 취약점 만들어

HTTPS는 HTTP보다 보안성을 높인 것으로, 웹 서버와 브라우저가 주고받는 데이터 통신을 암호화한다. 해커가 개인정보 등 중요 정보가 담긴 데이터를 중간에서 탈취해도 해당 내용은 암호화돼 알기 어렵다.

HTTPS 암호화를 위해서는 SSL(Secure Sockets Layer) 인증서가 필수인데, SSL 인증서는 홈페이지의 위·변조 여부를 확인해 실제 공식 사이트가 맞다고 확인해주는 역할을 한다. 덕분에 HTTP 보다 보안을 강화한 HTTPS 환경이 확대되고 있다.

그러나 HTTP 적용에 따른 보안 취약점 역시 높아지고 있다는 것이 문제. 해커는 악성코드를 암호화, 트래픽에 숨겨 배포하고 감염된 PC에 활성화 접속을 맺어 기업 내부에 침투할 수 있다.

또 직원은 고의 또는 실수로 HTTPS를 사용하는 웹메일, 소셜미디어(SNS) 등으로 개인정보나 주요 내부 정보를 유출할 수 있다.

기존엔 내부정보유출방지(DLP) 솔루션으로 내부 주요 정보 유출 현황을 파악하고 통제할 수 있었다. 그러나 암호화된 트래픽의 경우 분석이 불가능해 기존 DLP 솔루션으로 차단하기 어렵다.

내부 직원이 HTTPS로 된 유해사이트에 접속하는 것 또한 통제하기 힘들다.

◆보안기업, 변화하는 환경 대응 '잰걸음'

이에 보안 기업들은 변화하는 환경에서 보안 허점을 막는 솔루션을 선보이며 신속하게 대응하고 있다.

암호화 통신을 복호화(해독)하고 외부에서 내부로 들어오는 숨겨진 위협을 분석·차단하는 솔루션을 선보이는 것.

또 HTTPS로 된 유해사이트에 접속하지 못하도록 통제하는 보안 솔루션을 클라우드 버전으로 선보이며 보다 많은 기업들이 손쉽게 사용할 수 있도록 하고 있다.

수산아이앤티는 아라기술의 SSL 복호화 솔루션 'SSL 프리즘'의 관련 특허를 인수하고 기존 솔루션을 강화한 'e프리즘 SSL' 시리즈를 선보였다. 기존 네트워크 보안 장비가 암호화 트래픽을 인식하지 못해 발생하는 문제에 대처하고 보안 사업을 확대하기 위해서다.

수산아이앤티 관계자는 "특히 e프리즘 SSL VA(Visibility Appliance)는 악성코드 차단 솔루션 등 기존 보안 솔루션의 차단 메시지를 사용자에게 그대로 전송하는 '메시지 패스 스루(message pass through)' 기능을 제공한다"며 "외산 솔루션에 없는 독점 기능으로 국내 보안 환경에 최적화했다"고 설명했다.

소만사는 HTTPS로 된 유해사이트 접속을 차단하는 솔루션 '웹키퍼'를 클라우드 버전으로 선보이며 사업을 확대하고 있다. 중소기업 등이 별도 장비구입 없이 웹키퍼 서비스를 손쉽게 이용토록 하기 위해서다.

소만사 관계자는 "음란도박 사이트 같은 유해사이트와 보안상 위협이 되는 사이트만 막아도 악성코드 감염 비율이 70%이상 줄어드는데 중소기업은 이를 차단할 비용과 전담 관리자가 전무한 실정"이라며 "웹키퍼 클라우드를 사용하면 별도로 고가 장비를 구입하거나 전담 관리자를 배치할 필요 없이 서비스를 이용할 수 있다"고 설명했다.

이 외 기가몬, F5네트웍스 등 외국계 기업이 암호화 트래픽 환경에 대처하는 솔루션으로 활발히 영업하고 있다.

최근 보안으로 사업을 확장하고 있는 시스코는 암호화된 악성코드에 대응하기 위해 암호화 트래픽 분석 솔루션 'ETA(Encrypted Traffic Analytics)'를 공개한 바 있다.

성지은기자 buildcastle@inews24.com

▶프리미엄 뉴스서비스 아이뉴스24
▶연예스포츠 조이뉴스24, 생생한 라이브캐스트
[ⓒ 아이뉴스24 무단전재 및 재배포 금지]

Copyright © 아이뉴스24. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
아이뉴스24에서 직접 확인하세요. 해당 언론사로 이동합니다.