블로그

암호화에 대한 배꼽 응시를 중단하세요

로리 맥비티 썸네일
로리 맥비티
2019년 4월 29일 게시

우리는 암호화에 대한 자신의 뛰어난 능력에 너무 매료되어 대부분의 저장 데이터(데이터베이스 내부에 저장됨)가 암호화되지 않았다는 사실을 잊고 있습니다.

예를 들어, Skyhigh에서 암호화 제어를 분석한 결과, 클라우드 서비스 제공자의 81.8%가 SSL이나 TLS를 사용하여 전송 중인 데이터를 암호화하는 반면, 데이터가 클라우드에 저장된 후에 암호화하는 제공자는 9.4%에 불과한 것으로 나타났습니다. 이로 인해 클라우드 데이터베이스와 AWS S3 스토리지 버킷에 대한 무제한 액세스를 제공하는 조직의 수가 늘어나고 있으며, 이는 곧 악몽이 될 것입니다.

오늘날의 사이버 방어는 가장 강력한 고전적인 슈퍼컴퓨터라 하더라도 데이터, 컴퓨터 네트워크 및 기타 디지털 시스템을 보호하는 암호화 알고리즘을 풀려면 상상할 수 없을 만큼 많은 시간이 걸린다는 사실에 크게 의존하고 있습니다.
출처 < https://it.slashdot.org/story/18/12/05/2342226/quantum-computers-pose-a-security-threat-that-were-still-totally-unprepared-for >

이 진술은 틀림없이 사실이다. 문제는 암호화가 데이터, 컴퓨터 네트워크 및 기타 디지털 시스템을 완벽하게 보호 하지 못한다는 것입니다. 이는 전송 중인 데이터를 보호하고, 운이 좋으면 저장 중인 데이터도 보호합니다. 중요 시스템에 대한 액세스 제어를 강화합니다. 하지만 현실은 "네트워크"와 "시스템"이 데이터를 처리하고 논리를 실행하려면 일반 텍스트로 데이터를 볼 수 있어야 한다는 것입니다. 기업은 디지털 엿보기보다 보호되지 않고 패치되지 않은 애플리케이션으로 인해 더 큰 위험에 직면하게 됩니다.

결국 이는 침해가 점점 더 증가하는 이유입니다. 데이터가 전송 중이거나 저장 중일 때 암호화되지 않기 때문이 아니라, 애플리케이션과 API가 암호화된 형태의 데이터를 처리할 수 없기 때문입니다. 암호화되지 않아야 하며, 암호화되지 않으면 노출될 위험이 있습니다. 그리고 취약점은 공격자를 끌어들이는 요인입니다.

암호화되지 않은 데이터와 상호작용하고 이를 처리하는 애플리케이션과 API는 양자 기반 암호화를 해독하는 것보다 데이터의 보안 및 개인 정보 보호에 더 큰 위협이 됩니다. 이것이 그들이 자주 표적이 되는 이유 중 하나입니다. F5 Labs에서 10년간의 침해 사례를 분석한 결과 "침해의 53%에서 애플리케이션이 초기 대상이었습니다." 이러한 경로는 데이터에 접근하는 가장 쉬운 경로일 뿐만 아니라, 점점 더 암호화되는 데이터 경로에서 데이터가 암호화되지 않고 이를 검색하는 사람이 손쉽게 사용할 수 있는 유일한 장소 중 하나입니다.

오늘날 우리는 침해에 거의 무감각합니다. 침해가 너무나 빈번하게 일어나기 때문에 오늘날 애플리케이션을 통해 데이터베이스에서 수백만 개의 기록이 유출되었다는 소식을 듣는 것은 정상적인 일입니다. HTTPS 대신 HTTP를 사용하도록 강제하는 암호화 사용의 노력에도 불구하고 이런 일이 일어나고 있습니다. 이는 브라우저가 "엿보는" 눈으로부터 데이터를 암호화하는 데 사용되는 알고리즘과 키 길이에 암호화 표준을 적용하고 있음에도 불구하고 그렇습니다.

오늘날의 "사이버 방어"가 정말로 암호화의 힘에 크게 의존한다면, 우리는 정말 위기에 처해 있습니다. 암호화의 힘만으로는 뉴스피드를 가득 채우고 받은편지함을 막는 데이터 침해와 유출을 막을 수 없습니다. 이는 데이터 손실로 이어지는 공격을 인식하고 예방할 수 있는 강점이자 점점 더 중요해지는 지능입니다.

암호화된 악성 코드는 여전히 악성입니다. 암호화되어 도난된 자격 증명을 애플리케이션 인증 시스템에 넣은 것도 여전히 도난된 자격 증명입니다. 중간 상자를 제거해도 취약한 웹 또는 애플리케이션 서버가 악용하여 귀중한 기본 데이터에 액세스하는 위협은 사라지지 않습니다.

암호화를 강화하는 우리의 능력을 사랑스럽게 바라보는 것만으로는 충분하지 않습니다. 그 능력이 애플리케이션과 API의 악용을 위협하는 공격을 우리 디지털 경제의 핵심으로 직접 전달하기 때문입니다.  디지털 자산(애플리케이션)과 이에 액세스하는 채널(API)을 보호하려면 강력한 암호화 외에도 인텔리전스, ID, 공격 탐지를 결합하는 보다 포괄적인 애플리케이션 보호 접근 방식이 필요합니다.