점점 더 많은 비즈니스가 디지털화 됨에 따라 상당 수의 서비스와 애플리케이션이 정보 보안을 위해 암호화를 사용하고 있습니다. 암호화된 트래픽은 2015년 21%에서 2016년 40%로 급증하였습니다. 가트너는 이와 같은 웹 트래픽의 암호화 증가세가 2019년 80%, 2020년에는 90%에 이르게 될 것으로 예측하고 있습니다.
이와 같이 많은 기업들이 온라인 거래와 내부 통신을 위해 개인 정보 보호 및 보안을 강화 해주는 도구로서 암호화 기술을 사용하고 있습니다. 뿐만 아니라, 모바일, 클라우드 및 웹 응용 프로그램에서는 보안 키와 인증서를 사용하여 보안 및 신뢰를 보장하는 암호화 메커니즘에 점점 더 많이 의존하고 있습니다. 그러나 암호화의 혜택을 누리는 것은 기업만이 아닙니다. 공격자 또한 동일한 이점을 활용하여 탐지를 피하고 악성 활동을 보호하기 위해 암호화를 활용하고 있습니다. 그림 1은 이러한 공격의 경제적 영향을 보여줍니다.
대다수의 트래픽이 암호화 됨에 따라 네트워크 전반에 대한 가시성을 확보하는 것이 점점 어려워 지고 있으며, 암호화된 트래픽에서 위협과 일반 트래픽을 구별하는 것이 보안팀의 새로운 과제가 되고 있습니다
가트너 조사는 2019 년에 멀웨어 캠페인의 절반 가량이 명령 및 제어 활동 또는 데이터 유출을 숨기기 위해 일부 유형의 암호화를 사용할 것이라고 예측 하고 있습니다.
Figure 1. Economic impact of malicious attacks
암호화된 트래픽 보안의 과제
현재 대다수의 기업은 암호화 된 트래픽에서 악성 콘텐츠를 탐지하는 솔루션을 사용하고 있지 않습니다. 특히 네트워크의 속도를 저하시키지 않으면서 네트워크 인프라 전체에 적용 할 수 있는 보안 검사 도구와 리소스가 부족한 것이 현실입니다. 그리고 대량의 트래픽의 암호 해독, 분석 및 재 암호화를 해야 하는 환경에서 기존 분석 방법은 성능 및 리소스 측면에서 실용적이지 못하고 비용도 많이 발생 하게 됩니다. 고급 분석 기술을 사용하여 위협적인 흐름을 식별하고 추가의 검사를 위해 해독 기술을 사용하는 것이 좀 더 효율적입니다. 향후 얼마나 많은 디지털 비즈니스가 암호화될 지 정확하지는 않지만, 트래픽 암호화는 보안 규정 준수 요구 사항 충족을 위해 지속적으로 요구될 것입니다.
암호화된 트래픽 분석이란?
전통적인 플로우 모니터링은 패킷 플로우의 주소, 포트, 바이트 및 패킷 수를 모니터링 함으로써 네트워크 트래픽에 대한 높은 수준의 가시성을 제공합니다. 또한 플로우 메타 데이터 또는 플로우 내부에서 발생하는 이벤트에 대한 정보를 활용하여 플로우 모니터링 시 더 많은 정보를 수집, 저장 및 분석 할 수 있습니다. 이 방식은 패킷에 대한 모든 정보를 처리하지 않기 때문에 트래픽이 암호화된 경우 특히 유용합니다. 시스코의 암호화 트래픽 분석(Encrypted Traffic Analytics, ETA)은 메시지의 길이, 도착 시간과 같은 프로토콜 세부 정보와 독립적인 새로운 유형의 데이터 요소를 플로우 메타 데이터로 사용합니다. 이 데이터 요소는 암호화 된 플로우와 암호화되지 않은 플로우 모두에 동일하게 적용될 수 있는 속성을 가지고 있습니다.
이를 기반으로 클라우드 기반의 분석 엔진에서 암호화된 트래픽의 멀웨어 통신을 식별합니다. 암호화 된 트래픽 분석은 대량 암호 해독 (그림 2)없이 암호화 된 플로우의 무결성을 유지할 수 있습니다.
Figure 2. Encrypted Traffic Analytics – technical solution overview
별도의 해독 과정없이 위협을 분석하는 시스코 ETA는 다음과 같은 이점을 제공합니다.
• 보안 가시성 : 네트워크기반 분석을 통해 암호화 된 트래픽의 위협에 대한 가시성 확보. 사용자 및 장치 정보와 상관 관계가 있는
실시간 분석을 통해 상황 별 위협 정보 제공.
• 암호화 평가 : 기업이 암호화 프로토콜을 준수하고 암호화 대상 및 네트워크에서 암호화되지 않는 항목에 대한 가시성 확보.
• 응답 시간 단축 : 감염된 장치 및 사용자를 신속하게 차단.
• 시간과 비용 절감 : 네트워크 장비를 보안 센서 정보로 활용하여 추가적인 투자를 최소화
시스코 ETA – 암호화된 트래픽 분석을 위한 새로운 데이터 요소
암호화 트래픽 분석은 네트워크 상에서 움직이는 패킷의 정보를 직접 수집하는 패시브 모니터링과 의미있는 정보의 추출 및 머신 러닝 학습을 통해 구성된 클라우드 기반의 멀웨어 트래픽 분석 맵으로 이루어 집니다.
특히, 암호화된 트래픽 분석을 위해서 패킷 길이와 전달 시간 및 순서, 바이트 분포, 첫번째 데이터 패킷의 암호화 정보등을 주요 데이터로 사용합니다.
이를 위해 시스코는 하드웨어 기반의 ASIC (Application-Specific Integrated Circuit)인 UADP (Unified Access Data Plane) 칩셋을 통해 기존 트래픽의 속도를 저하시키지 않으면서 분석에 필요한 데이터 요소를 추출 할 수 있는 기능을 제공합니다.
• SPLT (Sequence of Packet Length and Times)의 시퀀스 : SPLT는 흐름의 첫 번째 여러 패킷에 대한 각 패킷의 응용 프로그램 페이로드 길이(바이트 수)와 해당 패킷의 도착 시간을 전달합니다. SPLT는 이전 패킷이 관찰 된 이후 시간을 나타내는 시간 배열(ms 단위)과 함께 패킷 크기 배열(바이트 단위)로 나타낼 수 있습니다.
• 바이트 분포 : 바이트 분포는 특정 바이트 값이 플로우 내의 패킷 페이로드에 나타날 확률을 나타냅니다. 플로우의 바이트 분포는 카운터 배열을 사용하여 계산할 수 있습니다. 바이트 분포와 관련된 주요 데이터 유형은 전체 바이트 분포, 바이트 엔트로피 및 바이트의 평균 / 표준 편차입니다.
예를 들어 바이트 값 당 하나의 카운터를 사용하면 HTTP GET 요청 인 “HTTP / 1.1.”은 “H”에 대해 해당 카운터를 한 번 증가 시킨 다음 두 개의 연속 “T”에 대해 다른 카운터를 두 번 증가시킴으로써 계산할 수 있습니다. 바이트 분포는 카운터 배열로 유지되지만 총 바이트 수로 정규화 하면 쉽게 적절한 분포로 바뀔 수 있습니다.
• 첫번째 데이터 패킷 (IDP) : IDP는첫 번째 패킷에서 암호화 데이터를 얻는 기술을 의미합니다.첫번째 패킷에서 HTTP URL, DNS 호스트 이름 / 주소 및 기타 데이터 요소와 같은 중요한 데이터를 추출 할 수 있습니다. 특히, 암호화를 위한 TLS 핸드 셰이크는 암호 스위트, TLS 버전 및 클라이언트의 공개 키 길이와 같은 데이터 요소를 추출하는 데 사용되고 암호화되지 않은 메타 데이터를 포함한 여러 메시지로 구성됩니다.
시스코 ETA를 위한 주요 구성 요소 Enhanced NetFlow
넷플로우 아키텍처에서는 네트워크 장비에서 생성된 넷플로우 데이터를 넷플로우 컬렉트로 전송됩니다. 전송되는 플로우 데이터는 사전에 정의된 템플리트에 의해 동일한 형식을 지닙니다. 시스코 ETA는 기존 넷플로우 데이터에서 암호화 정보를 포함하는 Enhanced 넷플로우를 사용합니다. Enhanced 넷플로우는 앞서 설명드린 시스코의 UADP2에 의해 생성되며, 암호화에 대한 정보를 담아 시스코 네트워크 장비를 통해서 제공됩니다.
플로우 분석 솔루션 스텔스와치와 클라우드 기반 멀웨어 분석 엔진 CA
시스코 스텔스와치는 네트워크를 통해 수집된 넷플로우, 프록시 서버, 엔드 포인트 원격 모니터링, 정책 및 액세스 엔진, 트래픽 세분화 등을 사용하여 기업 내 트래픽에 대한 “베이스라인(Base Line)”을 설정하고, 설정된 베이스라인을 기반으로 비정상 트래픽에 대한 분석을 제공합니다. 스텔스와치 솔루션 6.9.1에서부터 기존 분석 기능에 지능적인 멀웨어 위협 분석 기능을 보완하였습니다. 이 기능을 위해 클라우드 기반 분석 엔진인 CA (Cognitive Analytics, 인지 분석)를 연동하여 글로벌 위협 행동과 연관시켜 감염된 호스트, 커맨드앤 컨트롤 통신, 의심스러운 트래픽을 효과적으로 식별 할 수 있습니다.
CA는 인터넷상의 서버에 대한 매우 광범위한 행동 프로파일인 글로벌 위험 맵을 유지 관리하여 공격이나 향후 공격에 대비 할 수 있습니다(그림 3).
CA는 기계 학습 및 통계 모델링을 적용하여 Enhanced 넷플로우에서 제공하는 암호화 된 트래픽 데이터 요소를 분석합니다. 트래픽을 해독하는 대신 CA 를 사용하는 스텔스와치는 기계 학습 알고리즘을 사용하여 암호화 된 트래픽에서 위협적인 패턴을 찾아 위협을 식별하고 보안 사고 대응을 향상시킵니다.
Figure 3. Cognitive Analytics Engine
스텔스와치 관리 콘솔 (SMC)의 시큐리티 인사이트(Security Insight) 대시 보드는 CA (Cognitive Analytics)에 의해 식별 된 영향을 받는 사용자의 뷰를 제공합니다. 해당 뷰를 통해 연결되는 상세 대시 보드는 위험 증가 및 위협 노출에 대한 자세한 정보를 제공합니다.
Figure 4. Stealthwatch security insight dashboard with Cognitive Analytics
만약, 암호화된 플로우에서 비정상적인 위협 발견시 스텔스와치에 통해차단되거나 격리 될 수 있습니다. 이를 위해 시스코 정책 엔진인 ISE와 PxGrid로 연동되어 네트워크에 직접 차단 명령을 적용하게됩니다.
암호화 평가
시스코 ETA는 모든 네트워크에서 암호화 트래픽을 식별함으로써 기업이 암호화보안 규정을 준수하는지 확인할 수 있습니다.
이 암호화 평가는 스텔스와치 대시보드를 통해 제공되며 API를 통해 외부 시스템과 연동할 수 있습니다. (그림 5).
기능 지원
시스코IOS® XE 16.6부터 암호화 트래픽 분석 기능, ETA을Enhanced 넷플로우를 통해 지원 합니다. 지원하는 플랫폼 정보는 다음과 같습니다.
• 스위치 : Cisco Catalyst® 9300 Series (starting with the Cisco IOS XE 16.6 release) and the 9400 Series and 9500 Series (starting with the Cisco IOS XE 16.8.1 release)
• 라우터 : ASR 1001-X, ASR 1002-X, ASR 1001-HX, ASR 1002-HX, ASR 1004, ASR 1006-X, ASR 1009-X, 4221 ISR,4321 ISR, 4331 ISR, 4351 ISR, 4431 ISR, 4451-X ISR, Integrated Services Virtual Router (ISRv) including the 5400 Enterprise Network Compute System, Cloud Services Router (CSR) 1000V (starting with the Cisco IOS XE 16.7 release)
스텔스와치는 기계 학습 및 통계 모델링 기능 인 CA 기능의 통합(릴리스6.9.2)을 통해 암호화된 트래픽 분석을 제공 합니다.
라우터에서의 스텔스와치 Learning Network License (v2.0)는 암호화 된 트래픽의 행동 프로파일을 작성하여 암호화된 트래픽에서 탐지된 이상 사항을 표시 할 수 있는 기능을 제공합니다.
효능 및 시스코 연구 결과
시스코 ETA는 실제 데이터를 기반으로 한 실험에서 시스코는 0.01 %의 오탐지 (9900 개의 TLS 연결 마다 1 개의 오탐만 보임)로 99 % 이상의 정확도를 달성 할 수 있었습니다. 이는 실제 HTTPS 세션의 대규모 샘플을 기반으로 1년 6개월간 진행된 테스트 결과입니다.
결론
서론에 언급하였듯 암호화된 트래픽의 증가는 새로운 분석 방식을 필요로 합니다. 시스코의 새로운 네트워크 장비는 추가적인 투자없이 암호화된 트래픽의 위협을 탐지할 수 있는 고급 보안 센서로 활용 가능합니다.
똑똑한 시스코 네트워크와 다년간의 분석 기술을 통해 99% 정확도를 제공하는 CA, 그리고 이 모두를 하나의 뷰로 이어주는 스텔스와치를 통해 보이지 않는 암호화된 트래픽의 위협을 똑똑하게 감지할 수 있습니다.
이 모든 이야기가 가능하게 하는 새로운 네트워크,
바로 시스코의 디지털 네트워크 아키텍쳐(Cisco Digital Network Architecture) 입니다.
시스코 전문가 칼럼으로
최신 IT 트렌드를 알아보세요! |
이 글은김종만 시스코 코리아 보안 솔루션 스페셜리스트가 작성한 칼럼입니다. |