공격자들의 진화가 너무 빠르기 때문에 방어자의 편에서도 빠른 대응을 해야 한다. 그래서 구글은 주요 방어 도구인 인증서의 유효 기간을 단축하겠다고 발표했다. 좋은 소식이기도 하면서 좋지 않은 소식이기도 하다.
[보안뉴스 문정후 기자] 디지털 인증서는 와인과 다르다. 시간이 지나면서 나아지거나 향기로워지지 않는다. 디지털 인증서는 오히려 건전지와 같다. 그대로 두면서 핵심 기능이 약화되기 때문이다. 얼마 전 구글은 TLS 인증서의 유효기간을 90일로 정하겠다고 발표했을 때, 이런 차원에서 이해가 가능했다. SSL 인증서라고도 불리는 이 TLS 인증서는 원래 1년 가까이 사용이 가능했었다.
[이미지 = gettyimagesbank]
이 인증서가 있으면 웹 브라우저의 주소창에 자물쇠 기호가 나타난다. 또한 https라고 시작하는 웹 주소를 가질 수 있다. 눈에 보이는 것이 이 정도지, 더 있다. 해당 웹사이트의 도메인이 진짜이며, 스푸핑 공격으로부터 안전하고, 안전한 브라우징과 거래가 가능하도록 해 주는 암호화를 지원한다는 걸 증명하기도 한다. 각종 피싱 공격과 온라인 사기 거래가 만연한 지금, 사용자들을 안심할 수 있게 해 주는 든든한 장치가 된다.
이런 안전 장치의 유효 기간을 줄인다는 구글의 메시지는 명확하다. 공격자들의 실력과 기술 수준이 빠르게 높아지는 때에, 똑같은 안전 장치를 1년이나 사용할 수는 없다는 것이다. 이런 기조로 브라우저들이며 인증서를 발전시키고 있는 건 구글만이 아니다. 애플, 마이크로소프트, 모질라 등 대세 브라우저 개발사들도 인증서 유효 기간을 줄이는 쪽으로 움직이는 중이다. 애플의 경우 사파리 브라우저 인증서를 2020년부터 1년으로 줄인 바 있다. 이 때 시장 전체가 애플을 따라갔는데, 이번 구글의 결정도 비슷한 분위기를 자아낼 것으로 예상된다.
만료된 TLS 인증서는 사이버 범죄자들이 즐겨 악용하는 도구다. 뿐만 아니라 각종 서비스 마비와 불안정성의 이유가 되기도 한다. 인증서가 만료된 상태의 통신은 기밀성이 약화되기 때문에 사용자들의 프라이버시가 침해될 가능성도 높다. 인증서 만료는 여러 기업들에 있어 꽤나 귀찮은 문제로 남아있으며, 누구나 아는 대기업들이라고 해도 해결에 골머리를 앓고 있다.
90일 후에는 만료?
‘인증서 생애주기 관리(CLM)’ 작업은 IT 관리자들 대부분이 매우 까다롭게 느끼는 임무 중 하나다. 특히 수만 개~수십만 개의 인증서를 관리해야 하는 대기업 관리자들에게 CLM은 난이도가 매우 높은 작업일 수밖에 없다. 한 IT 팀이 관리해야 하는 내부 디지털 인증서는 평균 5만 개라는 조사 결과도 있을 정도다. 같은 조사에는 이 숫자가 매년 43% 이상 증가하고 있다는 내용도 포함되어 있었다. 요즘처럼 클라우드와 자동화에 대한 의존도가 높은 때에 인증서 관리는 절대 소홀히 할 수 없는 것이다. CLM에 왕도는 없으나, 베스트 프랙티스 정도는 존재한다.
1) 가시성을 확보한다 : 세상 모든 유형의 자산 관리가 다 그렇지만 관리해야 할 것들을 전부 알고 있어야 한다. 즉 자산 목록을 가지고 있어야 한다는 것이다. 회사 네트워크 내에 어떤 인증서들이 존재하고 있는지, 각 인증서의 만료일이 어떻게 되는지, 어떤 걸 삭제해야 하고 어떤 걸 갱신해야 하는지, 인증서들의 위치, 서명 기관이나 업체 정도는 언제나 확인이 가능해야 한다. 주기적으로 인증서를 스캔해서 새롭게 추가된 것이 있는지 파악하고, 있다면 목록에 추가해야 한다. 인증서의 현황이 정리된 목록은 중앙에서 관리하는 게 좋다.
2) 인증서 소비 기한을 항상 추적하라 : 인증서들을 보기만 해서는 큰 효과가 없다. 가시성을 확보한 후에는 자동화 기술을 접목하여 인증서 소비 기한을 자동으로 추적하여 만료 며칠 전에는 담당자에게 알림이 가서 조치를 취할 수 있도록 해야 한다. 디지털화 되어 있는 현대 기업 구조에서는 인증서 하나를 놓치는 것도 치명적으로 작용할 수 있으니 자동화 기술을 통해 그런 불상사가 일어나지 않도록 하는 게 중요하다. 여기에 더해 이왕 자동화 기술을 접목했으니, 인증서의 설정 문제도 자동으로 처리하여 오류를 미리 잡아내면 큰 도움이 된다.
3) 암호화 표준을 정하고 적용하라 : 인증서를 중요하게 만드는 많은 요소들 중 핵심은 ┖암호화’다. 이 암호화를 제대로 활용하는 것이 그 어려운 인증서 관리의 목적이라고 해도 과언이 아니다. 암호화만 제대로 운영해도 인프라가 훨씬 튼튼해진다. 그러려면 먼저 인증서들을 분석해 암호화 키의 크기와 강력함, 서명 알고리즘 등을 알아내는 것이 중요하다. 이 과정에서 한물 간 암호화 알고리즘을 사용하는 인증서가 무엇인지, 그러므로 새롭게 바뀌어야 하거나 보강되어야 할 것이 무엇인지 알아낼 수 있다. 인증서 업데이트를 대량으로 할 수 있는 도구를 구비할 경우 생산성이나 일반 업무에 차질을 빚을 위험이 줄어든다.
4) 거버넌스 체제를 확립하라 : 위에서 몇 번 언급했지만 인증서 관리에 있어 자동화 기술은 꽤나 중요하다. 하지만 자동화 기술을 설정해 두는 것만으로 인증서를 완전히 관리할 수 없다. 그 자동화 기술이라는 것도 결국 ‘거버넌스’라는 것 위에서 작동해야만 한다. 공공 키 인프라(PKI)의 거버넌스가 확립되어야 데이터를 보호하고 사용자 아이덴티티를 관리하고 종단간 통신을 안전하게 지킬 수 있게 된다. 조직 내 모든 부서들에 적용될 안정적인 정책과 표준이 있어야 그것을 바탕으로 인증서를 관리할 수 있으며, 그것을 기준으로 데이터 접근 권한과 자격을 그 때 그 때 결정할 수 있게 된다.
5) 비밀 키를 보호하라 : 민감한 정보를 지키는 최종 수문장은 ‘비밀 키’다. 문제는 이 중요한 걸 평문 텍스트 파일로 저장하거나, 포스트잇에 써붙여 놓는 식으로 보관한다는 것이다. 마치 초특급 인사를 경호하는 사람에게 팬티 한 장만 입히는 것과 같다. 이 비밀 키 역시 안전한 소프트웨어 금고나 특수 하드웨어에 저장해 안전히 보관해야 한다. 비밀 키를 보관하는 안전 장치는 전체 ‘데이터 보안’을 한층 더 두텁게 만든다.
사용자와 애플리케이션, 장비를 보호하면서 동시에 가용성과 사용 지속성을 유지하는 이 어려운 임무는 당분간 보안과 IT 담당자들의 어깨를 짓누를 것이다. 인증서 유효 기간을 단축하겠다는 구글의 발표는 보안의 관점에서는 타당하지만 보안 담당자의 업무의 관점에서는 반갑지 않다. 가뜩이나 어려운 인증서 관리 문제를 더 난이도 높게 만들고 있다. 그러므로 이제는 인증서 관리에 자동화 기술을 대입해야 한다. 기계가 오류 없이 자동으로 관리해주지 않는다면 수만 개나 되며 유효 기간도 짧은 인증서를 제대로 관리할 수 없다.
글 : 무랄리 팔라니사미(Murali Palanisamy), Chief Solutions Officer, AppViewX
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 디지털 인증서는 와인과 다르다. 시간이 지나면서 나아지거나 향기로워지지 않는다. 디지털 인증서는 오히려 건전지와 같다. 그대로 두면서 핵심 기능이 약화되기 때문이다. 얼마 전 구글은 TLS 인증서의 유효기간을 90일로 정하겠다고 발표했을 때, 이런 차원에서 이해가 가능했다. SSL 인증서라고도 불리는 이 TLS 인증서는 원래 1년 가까이 사용이 가능했었다.
[이미지 = gettyimagesbank]
이 인증서가 있으면 웹 브라우저의 주소창에 자물쇠 기호가 나타난다. 또한 https라고 시작하는 웹 주소를 가질 수 있다. 눈에 보이는 것이 이 정도지, 더 있다. 해당 웹사이트의 도메인이 진짜이며, 스푸핑 공격으로부터 안전하고, 안전한 브라우징과 거래가 가능하도록 해 주는 암호화를 지원한다는 걸 증명하기도 한다. 각종 피싱 공격과 온라인 사기 거래가 만연한 지금, 사용자들을 안심할 수 있게 해 주는 든든한 장치가 된다.
이런 안전 장치의 유효 기간을 줄인다는 구글의 메시지는 명확하다. 공격자들의 실력과 기술 수준이 빠르게 높아지는 때에, 똑같은 안전 장치를 1년이나 사용할 수는 없다는 것이다. 이런 기조로 브라우저들이며 인증서를 발전시키고 있는 건 구글만이 아니다. 애플, 마이크로소프트, 모질라 등 대세 브라우저 개발사들도 인증서 유효 기간을 줄이는 쪽으로 움직이는 중이다. 애플의 경우 사파리 브라우저 인증서를 2020년부터 1년으로 줄인 바 있다. 이 때 시장 전체가 애플을 따라갔는데, 이번 구글의 결정도 비슷한 분위기를 자아낼 것으로 예상된다.
만료된 TLS 인증서는 사이버 범죄자들이 즐겨 악용하는 도구다. 뿐만 아니라 각종 서비스 마비와 불안정성의 이유가 되기도 한다. 인증서가 만료된 상태의 통신은 기밀성이 약화되기 때문에 사용자들의 프라이버시가 침해될 가능성도 높다. 인증서 만료는 여러 기업들에 있어 꽤나 귀찮은 문제로 남아있으며, 누구나 아는 대기업들이라고 해도 해결에 골머리를 앓고 있다.
90일 후에는 만료?
‘인증서 생애주기 관리(CLM)’ 작업은 IT 관리자들 대부분이 매우 까다롭게 느끼는 임무 중 하나다. 특히 수만 개~수십만 개의 인증서를 관리해야 하는 대기업 관리자들에게 CLM은 난이도가 매우 높은 작업일 수밖에 없다. 한 IT 팀이 관리해야 하는 내부 디지털 인증서는 평균 5만 개라는 조사 결과도 있을 정도다. 같은 조사에는 이 숫자가 매년 43% 이상 증가하고 있다는 내용도 포함되어 있었다. 요즘처럼 클라우드와 자동화에 대한 의존도가 높은 때에 인증서 관리는 절대 소홀히 할 수 없는 것이다. CLM에 왕도는 없으나, 베스트 프랙티스 정도는 존재한다.
1) 가시성을 확보한다 : 세상 모든 유형의 자산 관리가 다 그렇지만 관리해야 할 것들을 전부 알고 있어야 한다. 즉 자산 목록을 가지고 있어야 한다는 것이다. 회사 네트워크 내에 어떤 인증서들이 존재하고 있는지, 각 인증서의 만료일이 어떻게 되는지, 어떤 걸 삭제해야 하고 어떤 걸 갱신해야 하는지, 인증서들의 위치, 서명 기관이나 업체 정도는 언제나 확인이 가능해야 한다. 주기적으로 인증서를 스캔해서 새롭게 추가된 것이 있는지 파악하고, 있다면 목록에 추가해야 한다. 인증서의 현황이 정리된 목록은 중앙에서 관리하는 게 좋다.
2) 인증서 소비 기한을 항상 추적하라 : 인증서들을 보기만 해서는 큰 효과가 없다. 가시성을 확보한 후에는 자동화 기술을 접목하여 인증서 소비 기한을 자동으로 추적하여 만료 며칠 전에는 담당자에게 알림이 가서 조치를 취할 수 있도록 해야 한다. 디지털화 되어 있는 현대 기업 구조에서는 인증서 하나를 놓치는 것도 치명적으로 작용할 수 있으니 자동화 기술을 통해 그런 불상사가 일어나지 않도록 하는 게 중요하다. 여기에 더해 이왕 자동화 기술을 접목했으니, 인증서의 설정 문제도 자동으로 처리하여 오류를 미리 잡아내면 큰 도움이 된다.
3) 암호화 표준을 정하고 적용하라 : 인증서를 중요하게 만드는 많은 요소들 중 핵심은 ┖암호화’다. 이 암호화를 제대로 활용하는 것이 그 어려운 인증서 관리의 목적이라고 해도 과언이 아니다. 암호화만 제대로 운영해도 인프라가 훨씬 튼튼해진다. 그러려면 먼저 인증서들을 분석해 암호화 키의 크기와 강력함, 서명 알고리즘 등을 알아내는 것이 중요하다. 이 과정에서 한물 간 암호화 알고리즘을 사용하는 인증서가 무엇인지, 그러므로 새롭게 바뀌어야 하거나 보강되어야 할 것이 무엇인지 알아낼 수 있다. 인증서 업데이트를 대량으로 할 수 있는 도구를 구비할 경우 생산성이나 일반 업무에 차질을 빚을 위험이 줄어든다.
4) 거버넌스 체제를 확립하라 : 위에서 몇 번 언급했지만 인증서 관리에 있어 자동화 기술은 꽤나 중요하다. 하지만 자동화 기술을 설정해 두는 것만으로 인증서를 완전히 관리할 수 없다. 그 자동화 기술이라는 것도 결국 ‘거버넌스’라는 것 위에서 작동해야만 한다. 공공 키 인프라(PKI)의 거버넌스가 확립되어야 데이터를 보호하고 사용자 아이덴티티를 관리하고 종단간 통신을 안전하게 지킬 수 있게 된다. 조직 내 모든 부서들에 적용될 안정적인 정책과 표준이 있어야 그것을 바탕으로 인증서를 관리할 수 있으며, 그것을 기준으로 데이터 접근 권한과 자격을 그 때 그 때 결정할 수 있게 된다.
5) 비밀 키를 보호하라 : 민감한 정보를 지키는 최종 수문장은 ‘비밀 키’다. 문제는 이 중요한 걸 평문 텍스트 파일로 저장하거나, 포스트잇에 써붙여 놓는 식으로 보관한다는 것이다. 마치 초특급 인사를 경호하는 사람에게 팬티 한 장만 입히는 것과 같다. 이 비밀 키 역시 안전한 소프트웨어 금고나 특수 하드웨어에 저장해 안전히 보관해야 한다. 비밀 키를 보관하는 안전 장치는 전체 ‘데이터 보안’을 한층 더 두텁게 만든다.
사용자와 애플리케이션, 장비를 보호하면서 동시에 가용성과 사용 지속성을 유지하는 이 어려운 임무는 당분간 보안과 IT 담당자들의 어깨를 짓누를 것이다. 인증서 유효 기간을 단축하겠다는 구글의 발표는 보안의 관점에서는 타당하지만 보안 담당자의 업무의 관점에서는 반갑지 않다. 가뜩이나 어려운 인증서 관리 문제를 더 난이도 높게 만들고 있다. 그러므로 이제는 인증서 관리에 자동화 기술을 대입해야 한다. 기계가 오류 없이 자동으로 관리해주지 않는다면 수만 개나 되며 유효 기간도 짧은 인증서를 제대로 관리할 수 없다.
글 : 무랄리 팔라니사미(Murali Palanisamy), Chief Solutions Officer, AppViewX
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
