SSL Inspection의 개념과 동작 원리

SSL Inspection이란 무엇인가요?

 

설명하기 앞서 SSL Inspection에 대하여 요약을 하자면 

 

SSL Inspection은 암호화된 HTTPS/TLS 트래픽을 조직 내부 장비가 중간에서 평문으로 복호화하여 악성코드, 데이터 유출 등 위협을 검사하고 다시 재암호화하는 네트워크 보안 기술입니다. 

 

SSL Inspection은 가시성을 확보한다고 표현 할수 있습니다.

• 가시성이란 암호화되어서 보이지않는 통신 내용들을 볼 수 있는 상태로 만드는 것을 의미합니다.

 

요즘은 SSL보다 더 발전된 TLS을 사용하기때문에 TLS로 설명하도록 하겠습니다.

그럼 여기서 비 전공자분들을 위한  SSL과 TLS의 개념과 차이점에 대해서 간략하게 설명하자면

• SSL은 네트워크상의 두 디바이스 또는 애플리케이션간에 보안 연결을 생성하는 통신 프로토콜 또는 규칙입니다. SSL은 모든 네트워크에서 안전하고 암호화된 통신 채널을 만드는데 사용할 수 있는 기술입니다.

그치만 SSL은 몇 가지 보안 결함이 있는 오래된 기술입니다.

따라서 이러한 보안 결함성의 취약성을 수정하기 위해

업그레이드 된 버전인 TLS가 생겼습니다.

 

---

설명전 필요한 배경 지식 

 

그럼 이제 SSL Inspection에 대해 설명하기전, 간단한 배경지식들을 설명하겠습니다.

 

요즘 대부분 패킷들이 암호화 되어서 통신을 하기 때문에 방화벽 입장에서 암호화한 패킷을 복호화하여 패킷을 확인해야 차단 또는 허용을 할 수 있습니다.

• 패킷이란 네트워크에서 데이터가 이동 할 때 작게 쪼개진 전송 단위입니다. 예를 들어서 비유를 하자면 택배에서 박스같은 개념이라고 할 수 있습니다.

대부분의 통신에서는 https을 많이 사용합니다. http와 https 비전공자분들도 많이 들어본 용어인데 http는 사용자가 웹 사이트를 방문하면 사용자 브라우저가 웹 서버에 HTTP 요청을 전송하고 웹 서버는 HTTP 응답으로 응답합니다.

• 간략하게 말하자면 http는 클라이언트와 서버가 데이터를 주고 받는 프로토콜입니다.

하지만 http는 서버와 클라이언트가 암호화 되지않은 평문으로 데이터를 주고 받기 때문에 보안적인 측면에서 큰 단점으로 부각이 되었습니다. 따라서 이러한  https의 단점을 개선한 것이 https 프로토콜입니다. https는 http에 보안이 추가 된 것입니다.

즉 http를 TLS로 감싼 것이라고 할 수 있습니다.

 

https가 제공하는 3가지 성질은

• 기밀성: 통신 내용이 제3자에게 노출 되지 않도록 보호하는 성질입니다.
• 무결성:전송 중 데이터가 변경 및 변조되지 않았음을 보장하는 성질입니다.
• 인증: 통신 상대가 "맞는지" 확인하는 성질입니다.

TLS는 https에서 사용하는 보안 프로토콜이라고 생각하시면 될 것 같습니다.

 

---

 

 

이러한 배경을 바탕으로, SSL Inspection은 암호화된 HTTPS/TLS 통신을 방화벽이나 보안 장비가 중간에서 복호화하여 내용을 검사한 뒤, 

다시 암호화해서 목적지로 전달하는 기술입니다. 

SSL Inspection은 단순히 패킷을 통과시키는 역할만 하는 것이 아니라 통신 중간에서 일종의 프록시럼 동작을 합니다.클라이언트는 보안 장비와 암호화 통신을 하고, 보안 장비는 다시 외부 서버와 별도로 암호화 통신을 맺습니다. 

 

• 프록시(proxy)란: 최종 사용자와 다른 웹사이트 또는 서버 사이의 가교 역할을 하는 물리적 또는 가상 서버입니다. 프록시에 대한 더 자세한 내용은 다음 내용에서 다루도록 하겠습니다

 

 

 

SSL Inspecion에서 프록시가 중요한 이유는 SSL Inspection에서는 방화벽이나 보안 장비가 프록시처럼 작동합니다.원래 HTTPS 통신은사용자와 웹 서버가 직접 TLS 암호화 연결을 맺어야하지만

SSL Inspection 환경에서는 사용자는 보안 장비와 TLS 연결을 맺고 보안 장비는 다시 실제 웹 서버와 TLS 연결을 맺습니다 즉, 하나의 연결처럼 보이지만 실제로는

클라이언트 ↔ 보안장비, 보안장비 ↔ 서버 이런식으로 작동합니다.

 

---

SSL Inspecion의 동작 원리

 

마지막으로 SSL Inspecion의 동작 원리는 

 

사용자가 HTTPS 웹사이트에 접속을 시도합니다.
→ 중간에 있는 방화벽 또는 보안 장비가 해당 TLS 연결을 가로채서 서버 대신 응답합니다.
→  보안 장비는 클라이언트와 별도의 TLS 세션을 만들고, 동시에 실제 서버와도 또 다른 TLS 세션을 생성합니다.
→  클라이언트가 보낸 암호화된 데이터를 보안 장비가 복호화하여 내부 내용을 검사합니다.
→  검사 결과 문제가 없으면 다시 암호화하여 실제 서버로 전달합니다.

반대로 악성코드, 유해 사이트 접속, 정보 유출 시도 등이 탐지되면 해당 통신을 차단할 수 있습니다.

 

근데 여기서 방화벽, 보안장비가 SSL Inspecion이라는건가?

싶으실 수도 있는데 그 뜻이 아니라 가운데 있는 방화벽 또는 보안장비가 SSL Inspection 기능을 수행한다라고 이해하시면 될 것 같습니다.더 쉽게 비유하면

• 방화벽/보안장비 = 사람
• SSL Inspection = 그 사람이 하는 업무

 

 

 

다음내용은 프록시에 대해서 다루도록 하겠습니다.