복호화 한계 속 메타데이터·행동분석 부상

인터넷 트래픽의 대부분이 암호화되면서 기존 보안체계가 사실상 무력화되고 있다는 분석이 나왔다. 사이버 공격자들이 암호화 기술을 은신 수단으로 활용하면서 보안업계에 ‘가시성 위기’가 확산되고 있다.

사이버 위협헌팅 기업 씨큐비스타는 ‘암호화 시대의 네트워크 보안’을 주제로 한 기술보고서를 28일 발표했다. 보고서에 따르면 전체 웹 요청의 95% 이상이 암호화된 상태로 유통되고 있으며, 탐지된 보안 위협의 약 87%도 이 같은 암호화 트래픽 내부에 숨어 있는 것으로 나타났다.

이는 TLS 1.3, QUIC, ECH(Encrypted Client Hello) 등 최신 암호화 기술 확산에 따른 결과다. 특히 TLS 1.3은 통신 과정 대부분을 암호화하고, QUIC은 첫 패킷부터 암호화를 적용하며, ECH는 도메인 정보까지 숨겨 기존 보안 장비가 활용해온 탐지 방식 자체를 무력화하고 있다. 보고서는 이 같은 변화를 ‘보안을 위한 기술이 오히려 보안 탐지를 어렵게 만드는 역설’로 규정했다.

기존 IDS·IPS, 웹방화벽(WAF), 복호화 프록시 등 보안 시스템은 패킷 내용이나 도메인 정보를 기반으로 위협을 식별하는 구조다. 하지만 암호화 환경에서는 이 같은 전제가 붕괴되면서 “기존 보안 장비가 눈먼 감시카메라로 전락할 수 있다”는 지적이 나온다.

이에 따라 업계에서는 복호화 없이 위협을 탐지하는 새로운 접근법이 부상하고 있다. 대표적으로 통신 시간, 데이터 크기, 접속 패턴 등 메타데이터를 분석하는 ‘ETA(Encrypted Traffic Analysis)’와 비정상 행위를 포착하는 행동 기반 탐지 방식이 핵심 대안으로 제시된다.

보고서는 “암호화 환경에서는 ‘무엇을 보냈는가’보다 ‘어디에, 얼마나, 어떤 패턴으로 통신했는가’를 분석해야 한다”며 탐지 패러다임 전환의 필요성을 강조했다.

특히 여러 프로토콜의 데이터를 연계해 공격 흐름을 추적하는 ‘크로스 프로토콜 상관분석’과 인공지능(AI)을 활용한 이상 탐지 기술이 차세대 보안 체계의 핵심으로 꼽힌다.

씨큐비스타는 이러한 기술을 적용한 NDR(네트워크 탐지·대응) 기반 솔루션 ‘패킷사이버’를 통해 암호화 트래픽 환경에서도 위협 탐지가 가능하다고 밝혔다. 이 솔루션은 메타데이터와 행동 패턴을 기반으로 암호화된 통신 내 이상 징후를 탐지하는 ‘EVA(Encrypted Visibility Analytics)’ 기술을 적용한 것이 특징이다.

전덕조 씨큐비스타 대표는 “암호화 자체가 문제가 아니라 기존 탐지 방식이 변화한 환경을 따라가지 못하는 것이 본질적인 위기”라며 “통신 내용을 보지 않고도 행동과 흐름을 분석해 위협을 식별하는 방향으로 보안 패러다임이 전환돼야 한다”고 말했다.

/김진홍기자 kjh25@kbmaeil.com

김진홍 기자

kjh25@kbmaeil.com

• 대구경북 기업심리 ‘제조업 꺾이고 서비스업 회복’
• 나노기술 10년 청사진 공개··· “2030년 세계 3대 강국 도약”
• 고의사고 다발구간 100곳으로 확대···내비서 음성 경고

다른기사 보기