암호화 트래픽에 숨은 보안 위협…"행동과 패턴으로 가려내야"

[디지털데일리 김보민기자] 보안 위협 대다수가 암호화 트래픽 안에 은닉해있다는 분석이 나왔다.

사이버 위협헌팅 보안기업 씨큐비스타는 최근 탐지된 보안 위협 87%가 암호화된 트래픽에 포함돼 있다며 주의를 당부했다.

씨큐비스타 보고서에 따르면 전체 웹 요청 95% 이상이 암호화된 상태로 유통되고 있고 위협 상당수가 해당 구간에 존재하는 것으로 나타났다. TLS 1.3, QUIC, ECH 등 암호화 기술이 확산되면서 기존 도메인 기반 차단 방식의 한계도 지적됐다.

보고서는 암호화 트래픽에 대한 복호화 방식이 비용과 효율성 측면에서 한계에 도달했다고 분석했다. 이에 따라 메타데이터와 행동 패턴을 기반으로 위협을 탐지하는 방식이 필요하다고 제기했다. 메타데이터 기반 탐지 방식인 ETA(Encrypted Traffic Analysis)는 통신 규격, 데이터 크기, 전송 시간 등을 분석해 위협을 식별하는 방식이다.

씨큐비스타는 비정상적인 시간대 대용량 데이터 전송, 일정 주기 외부 통신 등 행위 기반 이상 징후를 탐지하는 기술도 필요하다고 설명했다. 여러 프로토콜에서 발생하는 이벤트를 연계해 공격 흐름을 추적하는 상관분석 체계 구축도 요구된다고 밝혔다.

업계에서는 복호화 없이 트래픽 특성만으로 위협을 탐지하는 암호화가시성분석(EVA) 기술과 QUIC 전용 탐지 시나리오 필요성이 제기되고 있다. 네트워크 미러링 방식으로 기존 인프라 변경 없이 대응하는 방안도 언급됐다.

EVA 기술은 복호화 과정 없이 트래픽을 분석하는 방식으로, 개인정보 노출과 성능 저하 문제를 줄일 수 있다. 또한 AI 기반으로 네트워크 통신 패턴을 학습해 비정상 행위를 탐지하는 기능을 갖는다.

전덕조 씨큐비스타 대표는 "암호화는 개인정보 보호를 위해 반드시 필요하지만 보안 담당자에게는 거대한 사각지대를 의미한다"며 "암호화 통신 자체가 보안 적이 아니며 방어자 탐지 방식이 변화하는 환경을 따라가지 못하는 것이 진짜 위기"라고 강조했다. 이어 "이제는 통신 내용을 보지 못하더라도 행동 패턴과 흐름을 분석해 위협을 정확히 가려낼 수 있는 새로운 보안 패러다임을 전환해야 할 때"라고 말했다.