[보안 트러블슈팅 - 1]
SSL(Secure Sockets Layer)이란,
웹 브라우저와 웹 서버 간의 통신을 암호화하여 개인정보를 보호하는 보안 기술입니다.
예를 들어 우리는 평소 Web에서 도메인(Ex. brunch.co.kr)을 통해 웹을 접속합니다.
그 URL앞에는 http(HyperText Transfer Protocol)라는 프로토콜이 붙어 있는 걸 확인할 수 있습니다.
최근에는 SSL 기술을 활용한 https 프로토콜이 자주 사용되어 우리의 데이터 통신을 비교적 안전하게 보호하는 역할을 한다고 생각하면 좋습니다.
우리는 SSL 복호화 장비를 이용해 대용량 트래픽을 다루고 있다.
어느 날 내부 사용자로부터 네트워크 접속에 실패했다는 전화를 받았다.
UTM, FW을 비롯한 다양한 암호장비들을 보유하고 있는 상황이었고,
어떤 엔드포인트에서 차단되었는지 확인이 필요했다.
여러 암호장비 중 UTM 로그의 트래픽 결과를 살펴본 결과,
세션이 생성되자마자 RST 플래그와 함께 강제 종료되는 것을 발견했다.
업체와의 통화 결과, 해당 장비 서버 단에서는 요청IP의 로그가 발견되지 않은 것을 확인했다.
UTM에서 외부 서버와의 세션이 생성되었다면 장비서버에 로그로 남아있어야하는데,
그렇지 않아서 그 이전에 끊길 수 있는 가능성을 생각해내야 했다.
정확하진 않지만 정보보안기사를 공부하며 알게되었던 SSL VPN의 터널링을 떠올렸다.
UTM 이전에 SSL 가시화 장비의 엔드포인트에 먼저 도달하여, 터널링이 되어야 UTM 단으로 넘어간다는 가설을 세웠다.
따라서 SSL 장비에서 Source IP를 임의로 암호화 및 복호화 제외 조치를 해주었더니
정상적으로 네트워크 통신이 이루어졌다.
이 경위를 해당업체와 다시 이야기해본 결과 최근 업체의 암호화 해싱 값 변경으로 인한 인증서 오류이었다.
*위 내용은 보안 상의 이유로 사실과 허구가 혼용되어 있습니다.