블로그

하드웨어가 애플리케이션 보안을 개선할 수 있는 방법

F5 썸네일
F5
2018년 12월 18일 게시

지난 5년 동안 규모를 불문하고 대부분의 조직의 가장 큰 관심사는 보안이었습니다. 최근 기업이 앱을 마이그레이션하거나 클라우드 네이티브 앱을 구축함에 따라 퍼블릭 클라우드 보안에 많은 관심이 쏠리고 있습니다. 그러나 많은 중요한 앱은 여전히 개인 데이터 센터에 저장되어 있으며 가까운 미래에도 그럴 것입니다. 따라서 기업은 자사가 소유한 인프라와 하드웨어에도 계속 경계해야 합니다.

최근 블룸버그 기사 에서는 제3자가 네트워크 장비를 가로채서 데이터를 변조하거나, 감시하거나, 기타 방식으로 손상시키는 유형의 공급망 해킹에 대한 관심이 높아지고 있습니다.

하드웨어를 조작하는 것이 일반적으로 애플리케이션 공격의 진입점은 아니지만, 레이더에 잡히지 않고 침투할 수 있는 간단한 방법이 될 수는 있습니다. 간단히 말해, 오늘날 하드웨어에서 소프트웨어에 이르기까지 어떤 시스템 부분도 어떤 종류의 위협에도 노출되지 않는 부분이 없습니다. 따라서 기업에서 가능한 모든 각도에서 시스템을 보호하는 것이 매우 중요합니다. 게다가 지난 10년 동안 타사에서 제조한 하위 시스템 사용이 증가함에 따라 모든 보드 수준 하드웨어에 영향을 미치는 공급망 해킹 가능성이 커졌습니다. 조직은 다음과 같은 질문을 하고 있습니다(그리고 해야 합니다). 하드웨어 공급업체는 자사 하드웨어에 의존하고 있는가, 아니면 다른 사람의 하드웨어에 의존하고 있는가? 그러면 이는 애플리케이션 보안에 어떤 영향을 미칠까요?

이 단계에서는 두 가지 핵심 요점을 언급하기 위해 잠시 멈추겠습니다.

  • F5에서는 하드웨어 설계 및 제조 테스트 프로세스를 100% 소유하고 있으며, 이를 엄격하게 통제하고 있습니다.
  • F5 팀 전체는 하드웨어 및 소프트웨어 개선을 위해 끊임없이 노력하고 있습니다.

제조 중 더 나은 하드웨어 보안 제공

F5의 본사는 워싱턴주 시애틀에 있지만, 하드웨어 설계 및 개발의 모든 측면은 주 전역에 위치한 스포캔의 안전한 회사 시설에서 이루어집니다. BIG-IP 플랫폼을 구동하기 위한 전용 하드웨어를 개발하려는 욕구에서 탄생한 이 솔루션은 하드웨어의 보안을 직접 보장하고 시드 공격으로부터 보호할 수 있게 해줍니다. 사이트 내에서 F5는 CAD 소프트웨어에서의 초기 설계부터 인쇄 회로 기판(PCB) 제작, 그리고 최종적으로 실제 구성 요소를 PCB에 납땜하는 인쇄 회로 조립(PCA)까지 제조 및 테스트 프로세스를 엄격하게 제어합니다. 

F5에서 보호와 개인 정보 보호를 보장하기 위해 취하는 큰 조치 중 하나는 당사가 제품 설계를 소유하고 계약 제조업체 시설에서 테스트의 모든 측면을 제어할 뿐만 아니라 F5 IT 팀이 테스트가 실행되는 인프라도 소유하고 관리한다는 것입니다. 제조 공정에 대한 이러한 통제의 가치를 이해하려면 먼저 하드웨어가 어떻게 제조되고 개발되는지에 대해 아주 간단히 살펴봐야 합니다. 첫째, 설계는 Gerber Data, 즉 보드의 벡터 이미지를 생성하는 CAD 소프트웨어에서 수행됩니다. 다음으로, 당사 계약 제조업체가 아닌 다른 공급업체에서 해당 데이터를 바탕으로 인쇄 회로 기판(PCB)이 제작됩니다. 그 후, 인쇄 회로 조립(PCA)이 조립되는데, 여기서 실제 구성 요소(CPU, 메모리, IC, 트랜지스터 등)가 PCB에 납땜됩니다. 또한 AOI(자동 광학 검사)와 5DX/AXI(X선) 검사라는 여러 검증 프로세스를 결합하여 품질과 시스템 무결성에 영향을 미칠 수 있는 문제를 찾아냅니다. 여기에는 F5의 제어 하에 있는 원래 제품 설계에 포함되지 않은 모든 요소를 식별하는 것이 포함됩니다.

소프트웨어를 통한 하드웨어 보안 보장

하드웨어 보안에 대한 더 큰 신뢰와 확신은 소프트웨어 혁신을 통해서도 달성될 수 있습니다. 그러한 예 중 하나는 변조 감지 기능 출시에서 입증되었습니다. “TPM 관리 체계.” 이는 F5 하드웨어에 설치된 펌웨어가 실제로 F5에서 제조되었으며 변조되지 않았는지 확인하는 하드웨어의 기능으로, 중재 공격으로부터 더 잘 보호할 수 있습니다. 이 기능은 시작 시 패킷의 체크섬과 유사한 프로세스로 "측정"된 다양한 펌웨어 계층을 F5 제조 프로세스 중에 설정된 알려진 검증된 값과 비교하여 작동합니다. 이러한 시스템 시작 비교를 증명이라고 합니다.

이전 BIG-IP 소프트웨어 릴리스인 BIG-IP v14.0에서 F5는 TPM 기반 로컬 증명을 발표했습니다. 이는 F5에서 결정한 값을 시작 시점(부팅 중)에 측정된 하드웨어/소프트웨어의 현재 값과 비교하는 자동화된 방법입니다. 즉, BIG-IP 부팅 시퀀스 동안 로컬 증명은 여러 소프트웨어 스택 구성 요소의 현재 시작 보안 값을 F5에서 알려진 값과 자동으로 비교하여 고객에게 시스템이 F5에서 제조한 변조되지 않은 버전이라는 확신을 제공합니다. 이 기능을 사용하면 고객이 수동으로 작업을 수행할 필요가 없으므로 리소스와 시간이 절약되고 전체 간접 비용도 줄어듭니다.

F5는 최근 출시한 BIG-IP v14.1을 통해 구현을 강화했으며 TPM Chain of Custody를 위한 원격 증명 의 일반 공급을 발표하게 되어 매우 기쁩니다. 가장 큰 차별화 요소는 F5가 이제 iHealth와 상호 작용하여 F5 펌웨어의 현재 시작 값을 F5의 알려진 값과 비교할 수 있다는 것입니다. iHealth는 F5에서 중앙에서 제어하고 보안하므로 로컬에서 검증하는 것보다 더 뛰어납니다. iHealth 플랫폼이 레지스터에 있는 장비 값을 확인하면, TPM이 유효한지 여부를 BIG-IP 시스템으로 다시 전송하여 고객에게 F5 장치의 진위 여부를 검증하여 하드웨어 및 펌웨어 기반 공격을 방지합니다.

리캡

요약하자면, TPM이 장착된 F5 시스템은 이제 장치의 소유권 유지 관리에 대한 증명 및 확인을 로컬 및 원격으로 지원하는 기능을 제공하며, 이를 수동으로 수행할 필요가 없습니다. 이 기능은 BIG-IP 하드웨어 에서 올바른 F5 소프트웨어가 실행 중인지 확인하고, 고객에게 하드웨어가 변조되지 않았다는 확신을 제공합니다. F5의 BIG-IP 하드웨어를 사용하면 고객은 보안 문제에 대해 걱정할 필요가 하나 줄어들고 앱과 앱 데이터 보안에 더욱 집중할 수 있습니다.

F5의 하드웨어 플랫폼에 대한 추가 정보는 https://www.f5.com/products/big-ip-services/iseries-appliance 에서 확인하실 수 있으며, F5가 조직의 애플리케이션 보안을 강화하는 방법에 대한 자세한 내용은 https://www.f5.com/solutions/application-security 에서 확인하실 수 있습니다.