암호화의 특징은 곧 단점일 수 있다.

암호화 와 복호화의 장점은 또다른 단점이 될 수 있다

안전하게 데이터를 송수신 하기 위한 방안으로 암호화라는 방식이 보급되었다. 하지만 이제 암호화를 재해석해야 하는 시기가 도래된 것으로 파악되고 있다. 암호화는 데이터를 보호하기 위한 가장 높은 수준의 보안 기술로 암호화 키가 없으면 절대로 풀리지 않는다.

암호화의 이러한 장점이자 단점을 이용한 랜섬웨어 공격이 유행하면서 막대한 피해가 발생되고 있다. 랜섬웨어 공격자들은 데이터나 시스템을 암호화한 후 돈을 송금해야만 복호화 할 수 있는 키를 보내준다. 하지만 돈만 받고 복호화 키를 보내주지 않거나 복호화 되지 않는 키를 보내주고 일방적으로 연락을 끊어버리는 일도 상당수 발생되고 있어 주의를 요한다.

인터넷 트래픽을 암호화하여 공격을 시도하는 사례도 꾸준히 증가하고 있다. 인터넷 트래픽을 중간에 가로채는 방식으로 데이터를 유출하는 방식의 해킹을 하지 못하도록 하는 SSL 방식의 암호화 트래픽을 사용하는 경우가 점차 늘어나고 있는데, 이렇게 암호화된 트래픽에 악성코드를 숨겨 유입시키는 공격도 꾸준히 증가하고 있어 SSL VPN 을 이용하는 방식도 100% 안심할 수 없는 실정이다.

원칙적으로 암호화 트래픽은 복호화 한 후 유해요인이 있는지 검사한 후 네트워크 내부로 유입되는 것을 승인해야 한다. 그러나 암호화 트래픽을 복호화 하는데 상당한 시간이 걸리기 때문에 대부분의 경우 암호화 트래픽은 보안 조사를 하지 않고 승인한다. 바로 이런 점을 악용해 공격자들이 악성코드를 암호화 트래픽에 숨겨 유입시켜 보안장비의 탐지를 우회하는 방식을 사용하는 것이다.

2016년 보안시장 보고서에 따르면 오피스365, 구글 드라입, 드롭박스 및 박스 등 같은 서비스가 점점 늘어나고 있는 가운데 이를 악용하는 해커들의 시도도 증가하고 있는 것으로 전해진다. 그 이유는 이러한 서비스들은 무료 가입이 가능하고 무료로 SSL VPN을 제공하며, 일반적으로 차단되는 사이트에 해당되지 않아 해커들에게 유용하게 사용할 수 있기 때문 이라고 설명했다.

이어 이 보고서에서는 보안 담당자는 전체 사이트를 암호화하는 시도를 계속할 것이며, 암호화된 트래픽은 보안 컨트롤이 미치지 않는 사각 지대를 지속적으로 생산하게 된다. 잘 보이는 곳에 숨겨진 멀웨어가 암호화된 트래픽 및 채널과 통신함으로써 암호화된 네트워크 전체에 위협을 가하게될 것 이라고 지적했다.

보이는 모든 곳을 암호화하라

복호화키 없이는 절대로 복호화 할 수 없는 암호화의 특징을 악용한 공격이 성행한다고 해서 암호화를 거부해서는 절대 안된다. 암호화는 보안의 기본이며, 특히 정보유출이 쉬운 IOT 환경에서는 모든 데이터에 대한 암호화가 절대적으로 필요하다. 시만텍의 보고서에서의 모든곳을 암호화 하라는 말은 이미 IT업계에서는 하나의 주문이 되어 있다. 인터넷과 같은 불안전하고 취약한 네트워크에서 인간과 시스템 간에 많은 커뮤니케이션과 교류가 이루어지고 있는 가운데, 오고 가는 데이터에 대한 강력한 암호화가 필요하다는 것은 오랫동안 인지되어 왔고, 일반적으로 암호화가 도입되고 있다고 설명했다.

암호화가 만병통치약은 아니며, 허술한 암호화는 오히려 보안에 있어 가장 취약한 곳으로 전락할 수 있음을 인지해야한다. 암호화 기술은 공개된 표준 알고리즘을 사용하기 때문에 암호화를 적용하면 일정한 수준의 보안성을 보장할 수 있다. 그러나 키관리가 제대로 이루어지지 않으면 암호화 데이터와 키가 함께 유출돼 데이터를 암호화한 의미가 희석될 수 있으니 상당한 주의를 요한다.

암호화는 IOT와 핀테크를 위한 인증에도 중요하게 사용된다. 인증정보를 암호화해 보관하고, 인증이 수행될 때 마다 인증값을 서버에 보내 인증을 요청하는 과정에서 암호화 기술이 반드시 필요하다. 이 때에도 키관리는 매우 중요한 요소가 된다. IOT 에서는 인증에 필요한 암호화, 키관리 기술을 제공하는 보안칩이 효과적인 기술로 제안되고 있다. 강력하게 암호화된 초소형 하드웨어 칩에 암호화 인증과 키값을 보관하는 보안칩은 IOT 기기 제조사에게 필수 제품으로 자리잡게 될 것으로 예상된다. 시만텍 보고서는 IOT 와 모바일을 위한 신규 기기와 애플리케이션에 암호화가 허술하게 구축되면서 취약점을 이용해 공격자들이 통신 데이터에 접근할 수 있게 되었다고 밝혔다. 예를 들어 대다수 사람들의 일상에서 모바일 기기는 통신이나 데이터의 저장, 일상적인 생활에 필요한 기술 활용에 사용되면서 중요한 부분을 차지하게 됐고, 범죄자에게는 높은 가치가 있는 목표물이 됐다.

이 때문에 모바일 OS 제조사는 자사 제품의 암호화 수준을 지속적으로 개선하고있다. 반면, 암호화가 사용자의 데이터를 사이버 공격으로부터 보호하는 데 도움이 되지만 법 집행에 있어서 장애물이 된다고 생각하는 정부 입장에서는 불만이 높아지고 있다.

하지만 정작 정보보호, 개인정보보호 등의 이유로 보안장비를 만드는 제조사에게 국정원에서의 인증을 받아야만 공공기관에 납품할 수 있는 현실을 바라보면 이 또한 정부의 볼멘소리를 이해할 수는 없는 노릇이다. 보안 이라는 것이 어느 누구나 모두를 만족시켜줄 수는 없지만, 적어도 공격자로부터의 공격을 막아주고, 소중한 정보를 보호할 수 있다는 것만으로도 충분히 높은수준의 보안을 유지할 필요는 있다고 볼 수 있다.