[디지털데일리 홍하나기자] #가정집 현관문의 잠금장치는 크게 두 가지로 나뉜다. 열쇠(키)로 문을 따거나 도어락의 비밀번호를 눌러 문을 열 수 있다. 보안을 위해 잠금장치를 바꾼다고 가정해보자. 열쇠를 사용하는 현관문의 경우, 문고리를 통째로 바꿔야 한다. 반면 후자의 경우 비밀번호만 바꾸면 된다.

퍼블릭키 암호기술은 RSA와 디피 헬만(Diffie-Hellman) 두 가지 방식으로 나뉜다. 열쇠처럼 RSA 방식은 고유한 키가 있으며 변하지 않는다. 또 복호화가 가능하다.

반면 PFS 방식은 키를 임시적으로 사용할 수 있도록 전환기술을 보유하고 있으며, 자신의 데이터라고 하더라도 복호화가 불가능하다. 따라서 인바운드 트래픽의 검사를 불가능하게 한다. 중요한 것은 디피 헬만이 사용자가 자신의 데이터라고 하더라도 복호화를 불가능하게 하는 ‘퍼펙트 포워드 시그리시(PFS)’ 기술을 제공한다.

신기욱 F5네트웍스 기술총괄 상무<사진>는 지난 21일 서울 중구 더 프라자호텔에서 금융권 관계자들을 초청한 오찬세미나를 통해 이 같은 기술을 바탕으로 하는 자사의 보안 솔루션 ‘SSL 오케스트레이션’에 대해 소개했다.

신 상무는 “우리가 볼 수 없는 영역은 보호할 수 없으며, 볼 수 있는 것이 제어할 수 있는 영역”이라며 “보안소켓계층(SSL)에 대한 가시성 확보가 중요하다. 하지만 이를 넘어선 것이 필요하다”고 강조했다.

평균적으로 인터넷 트래픽의 70~80%는 암호화된다. 웹페이지는 SSL과 전송계층보안(TLS)으로 암호화됐다. 즉 기업은 SSL을 통해 웹을 탐색하고 있다. 하지만 위험 관리를 하지 않을 경우, 업무에 새로운 위협이 발생할 수 있다고 전문가들은 경고하고 있다.

일반적인 아웃바운드 트래픽에 대한 보안장비는 ‘데이지 채이닝’ 방식을 취한다. 시장조사기관 NSS랩에 따르면 이 경우 응답시간이 672% 증가하고, 평균 스루풋이 약 60% 저하되는 것으로 나타났다.

신 상무는 “단순 가시성을 넘어선 것이 F5네트웍스의 ‘SSL 오케스트레이션(SSLO)’로, 다양한 네트워크 구성 환경을 지원하며 다이나믹 서비스 체이닝과 모니터링을 지원한다”고 강조했다.

SSLO는 암호화된 트래픽을 복호화한 뒤 보안 장비로 트래픽을 전달한다. 이를 다시 SSLO가 SSL 암호화를 한 뒤 서버를 보낸다. 보안장비에 SSL 암호화된 트래픽을 전달하는 기존 방식과 달리, 복호화된 트래픽을 전달하는 것이 타사 제품과의 차이점이라고 강조했다.

또 보안 장비를 서비스 체인으로 그룹화해 운영할 수 있다. 개별적인 로드 분배 기능도 함께 제공한다. 보안 서비스 정책 별 복호화 트래픽, 복호화 사이트 등도 확인할 수 있다.

모니터링, 로드발랜싱 기능이 향상돼 다양한 트래픽에 대한 가시성도 확보할 수 있다. ‘아웃바운드 트래픽 가시성 확보 솔루션’을 통해 내부에서 밖으로 나가는 트래픽도 볼 수 있다.

이밖에 HTTPS 차단 안내 페이지와 보안장비가 전달한 차단 페이지를 제공한다. 사용자 접속 URL, 사용자 IP, 서비스 포트, 차단된 장비명에 대한 상세 설명 등을 보여준다.

신 상무는 “보안은 가시성 확보만으로 충분하지 않다”며 “SSLO를 통해 전체 보안 체인 전반에서 암호화된 트래픽의 흐름을 지능적으로 관리함으로써 최적의 가용성, 효율성을 보장할 수 있다”고 밝혔다.

<홍하나 기자>hhn0626@ddaily.co.kr