엔터프라이즈에서의 TLS 1.3 도입

작년 8월 IETF 가 새로운 TLS(전송 계층 보안) 1.3 사양을 발표하면서 많은 조직이 새로운 표준의 도입 계획을 고려하고 있습니다. F5는 전반적으로 증가하는 암호화 사용에 기업들이 어떻게 적응하고 있는지 더 잘 이해하기 위해 Enterprise Management Associates에 연구 프로젝트를 의뢰했습니다 . 일부 업계 단체는 TLS 1.3을 사용하여 문제 해결 및 잠재적 맬웨어를 위해 트래픽을 복호화하고 검사하는 기능에 대해 심각한 우려를 표명했지만, 다행히도 설문 조사에 참여한 응답자 중 상당수가 이미 TLS 1.3을 활성화하는 과정에 있거나 곧 활성화할 계획이라는 사실이 다행입니다. 또 다른 좋은 신호는 설문조사에 참여한 응답자의 대다수가 기술적인 측면에서 TLS 1.3에 익숙하다고 답했다는 것입니다.

새로운 표준의 신속한 도입 계획에는 여러 가지 요인이 작용했습니다. 주요 웹 서버 및 브라우저 공급업체가 이미 자사 제품에 TLS 1.3을 구현한 것이 그 중 하나입니다. 또 다른 이점은 TLS 1.3 개선을 통해 향상된 개인 정보 보호 및 종단 간 데이터 보안이 실현된다는 인식된 이점입니다. TLS와 같은 암호화 프로토콜은 적대자가 데이터를 도청하고 변조하는 것을 방지하기 위해 존재합니다. 그러나 애플리케이션 보안 모니터링에 대한 우려가 주의를 환기시키고 있습니다.

최근 몇 년 동안 인터넷에서 암호화를 사용하는 빈도가 크게 늘어났습니다. F5 Labs 2017 TLS 원격 측정 보고서에 따르면 현재 웹 페이지의 81%가 HTTPS를 통해 로딩되고 있다고 합니다. 지난 18개월 동안 데이터 센터와 기업 네트워크에 대한 암호화 사용이 가장 많이 늘어났지만, 기업은 향후 18개월 동안 내부적으로 개발된 애플리케이션과 웹 서비스에 주목할 것입니다.

TLS 1.3 사양의 의미를 감안할 때, 응답자 대다수가 조직 내에서 TLS 1.3을 구현하는 것에 대해 운영 및 보안에 대한 우려를 표명했습니다. 설문조사에 따르면 모든 응답자의 56%가 운영과 관련해 다소 또는 상당한 우려를 표명했고, 61%가 보안과 관련해 다소 또는 상당한 우려를 표명했습니다.

가장 큰 보안 우려 사항은 애플리케이션 보안 및 데이터 센터에 대한 가시성이었으며 응답자의 57%가 애플리케이션 보안을 모니터링할 수 없는 것이 가장 큰 우려 사항이라고 밝혔습니다.   

그들은 무엇을 두려워하는가?

합법적인 트래픽에 숨겨진 악의적인 행동을 발견하지 못했습니다. 단 6%만이 전혀 걱정하지 않는다고 답했습니다.

그런 우려에도 불구하고, 뒤로 돌아갈 수는 없습니다. 정책적인 관점에서 볼 때, 기업은 데이터를 보호하기 위해 전송 암호화 사용을 명확히 의무화하고 있으며, TLS가 선택된 프로토콜입니다.

조직이 TLS 1.3 배포를 처리하는 방법과 전략, 정책, 관행 및 우려 사항을 알아보려면 여기에서 Enterprise Report의 TLS 1.3 도입 전체 내용을 확인하세요.