암호화 자산을 중앙에서 확인하는 일이 디지털 신뢰를 위한 필수적인 요인임을 명확하게 이해하고 계실 것입니다. 어떤 이유에서든 지난 수년간 만료되거나 보안 상태가 부적절한 TLS 인증서로 인해 발생한 업무 중단 및 데이터 유출 사고에도 흔들리지 않고 비즈니스를 지속하고 계신다면 일반적인 기업이 관리해야 하는 인증서 수를 고려해 보세요. 2021년 DigiCert 설문조사에 따르면 일반 기업은 평균적으로 50,000개의 서버 인증서를 관리해야 하는 것으로 추정됩니다.
이 수치는 서버 인증서를 비롯해 평균적인 기업이 관리해야 하는 사용자 및 기기 인증서를 제외하더라도 매우 큰 숫자입니다. 점점 늘어나는 디지털 인증서 사용 사례와 이에 따른 TLS 인증서의 기하급수적인 증가도 고려하지 않은 추정치이기도 합니다.
인증서는 IT 환경의 모든 곳에 숨겨져 있습니다. 숨김 처리된 인증서의 몇 가지 예시를 확인해 보세요.
DigiCert를 비롯한 공인 인증 기관(CA)
주로 감독 없이 관리되는 개인 온프레미스 CA(Microsoft CA가 가장 많음)
AWS Private CA와 같은 개인 클라우드 CA
Microsoft IIS 및 Apache와 같은 웹 서버
F5, Citrix, A10, AWS Elastic Load Balancer 등의 로드 밸런서
Qualys 및 Tenable과 같은 취약성 검사 도구
클라우드 네이티브 Kubernetes 클러스터
설문조사에 응한 기업의 절반 가량이 IT에 관한 지식 없이 사용되며 관리되지 않는 상태의 소위 ‘유해한(rogue)’ 인증서를 보유한 것으로 나타났습니다. 여러분의 조직에서도 알고 있지 못하는 수만 개의 인증서가 사용되고 있을 가능성이 높습니다.
그렇기 때문에 조직에서 모든 인증서에 관해 지속적으로 충분한 최신 정보를 반드시 확보해야 합니다. 이를 위해 해당 인증서가 사용되는 방식, 소유자, 위치와 관계없이 모든 인증서를 찾아낼 수 있는 기능이 필요합니다.
인증서 수명 주기 관리(CLM) 솔루션만으로는 숨김 처리된 인증서를 모두 찾을 수는 없습니다. 효과적인 CLM 솔루션은 이러한 인증서를 찾아낼 수 있는 여러 메커니즘도 제공해야 합니다. 실질적으로 이러한 중대한 과제를 수행하는 데 한 가지 정답은 없기 때문입니다.
효과적인 CLM 솔루션으로 어떻게 인증서를 찾아낼 수 있나요? 어떤 방법이 있는지
살펴보겠습니다.
우선 CLM 솔루션으로 가장 확실하게 인증서를 찾는 방법은 솔루션을 구축한 인증 기관(CA)과 긴밀히 협력하는 것입니다. DigiCert® 트러스트 수명 주기 관리자를 통해 DigiCert CertCentral®에서 발급한 공인 인증서와 DigiCert ONE CA Manager에서 발급한 개인 인증서를 찾을 수 있습니다. 이러한 통합 덕분에 발급부터 중앙 관리 체계화까지 모든 인증서 주기가 간소화되어 인증서를 손쉽게 찾아낼 수 있습니다. 이 풀스택 기능은 극소수의 CA 애그노스틱 CLM 제공 업체만 보유하고 있으며, 이미 CertCentral를 사용 중이신 고객이라면 사용을 고려해 보시기 바랍니다.
물론 모든 인증서가 DigiCert에서 발급되는 것은 아닙니다. 세계 상위 2,000개 기업 중 대다수의 비즈니스 전반에서 Microsoft CA(또는 20)가 활용되고 있습니다. 기업 인프라를 클라우드로 이전하는 기업이 늘어남에 따라, 많은 기업이 여러 인증서 중에서도 AWS Private CA 발급 인증서 관리에 힘쓰고 있습니다. 다시 말해 이러한 CA에서 발급한 인증서를 찾아 기업의 인증서 중앙
인벤토리에 가져오고 분류할 방법이 필요합니다.
대부분의 CA 기반 솔루션은 해당 솔루션을 발급한 CA에서 발급하지 않은 인증서를 찾지 못하며, 기존의 CA 애그노스틱 솔루션은 이 점을 계속해서 홍보하고 있습니다. 이와 대조적으로 DigiCert 트러스트 수명 주기 관리자는 CA 중심 솔루션인 동시에 CA 애그노스틱 솔루션이기도 합니다. 매우 깔끔한 동시에 놀랍도록 유용한 통합 솔루션이라고 할 수 있습니다.
DigiCert 트러스트 수명 주기 관리자는 단순히 다른 CA에서 발급한 인증서를 찾아내는 데 그치지 않습니다. 이러한 타사 인증서를 인증서 인벤토리로 가져온 다음, 인증서를 식별하고 사전 정의된 자동화와 필터링 옵션을 적용하도록 태그를 적용할 수 있습니다.
그림 1: 트러스트 수명 주기 관리자가 Microsoft CA 서버와 협업하는 방식
포트 기반 스캔은 CA에서 직접 발급하지 않은 인증서를 찾을 수 있는 가장 기본적인 방법입니다. CLM 솔루션이 기업의 IT 환경에 센서를 적용하여 심층적으로 인증서를 탐색합니다. 스캔해야 하는 포트나 온프레미스와 클라우드에 있는 다양한 IP를 지정하여 활성화된 서비스나 IPV4 주소와 연계된 인증서를 포함한 자산을 파악할 수 있습니다. 이러한 스캔을 통해 인증서를 안전하고 적절하게 관리하고, 업계 기준을 준수할 수 있습니다. 이뿐만 아니라 인증서의 무결성이 조직의 네트워크 인프라 내에서 유지되는지도 확인할 수도 있습니다.
DigiCert 트러스트 수명 주기 관리자는 포트 기반 스캔 기능을 사용해 많은 인증서를 찾을 수 있습니다. 하지만 로드 밸런서 및 웹 서버 등에서 찾아볼 수 있는 특정한 인증서를 찾으려면 추가적인 지원이
필요합니다.
포트 기반 스캔 기능은 단독으로도 로드 밸런서에서 실행되는 오픈 포트와 서비스를 파악할 수 있습니다. 하지만 이 기능만으로는 TLS 인증서를 파악할 수 없습니다. 로드 밸런서에서 TLS 연결을 중단한 다음 트래픽을 백엔드 서버로 라우팅하기 때문입니다. 이러한 포트가 노출되어 있지 않기 때문에 네트워크상의 전략적인 지점에서 네트워크 트래픽을 추적하고 해당 지점을 통과하는 트래픽을 분석할 센서가 필요합니다. 이 핸드셰이크 데이터는 서버에서 사용되는 로드 밸런서의 뒤에 있는 인증서를 식별할 수 있어, 이를 활용해 인증서를 파악하고 인증서 중앙 인벤토리에
동기화할 수 있습니다.
DigiCert 트러스트 수명 주기 관리자는 이러한 센서를 활용해 로드 밸런서 뒤에 있는 인증서를 자동화할 수 있습니다. 일반적으로 로드 밸런서에 연계되어 있는 인증서가 매우 많다는 점을 고려했을 때 이 기능은 반드시 필요합니다. 이러한 인프라를 통해 해당 인증서가 전체 인증서 인벤토리의 일부가 되었는지 확인할 뿐만 아니라 매우 복잡한 IT 환경에서 활성화되어 있을 수 있는 추가 인증서를 식별할 수도 있습니다.
Microsoft IIS 또는 Apache 웹 서버에 설치된 인증서와 같은 특정 인증서는 포트 기반 스캔 기능으로 찾을 수 없습니다. 이러한 인증서를 찾으려면 만료일, 연계된 도메인과 같은 구체적인 인증서 관련 정보를 수집할 수 있는 에이전트를 서버에 직접 설치하고 이 정보를 중앙 인벤토리에 전달해야 합니다.
DigiCert 트러스트 수명 주기 관리자는 이러한 에이전트를 공급해 인증서를 찾을 다른 방법이 없을 때도 유연하게 인증서를 찾을 수 있도록 합니다. 이와 더불어 DigiCert 트러스트 수명 주기 관리자의 에이전트는 필수적인 내부 인증 기능을 지원하여 다른 소스에서 서버에 접근할 수 없도록 합니다.
앞에서 언급한 모든 인증서 찾기 메커니즘은 지속적으로 추적되는 인증서 중앙 인벤토리를 구축하고 유지하는 데 필요합니다. 하지만 특히 Fortune 500 기업과 같은 많은 조직은 Qualys, Tenable과 같이 네트워크 자산(물리적, 가상 서버, 라우터, 스위치, 클라우드 인스턴스, 컨테이너 및 오작동 프린터와 같은 IoT 기기) 대부분의 취약성을 검사할 수 있는 취약성 관리 솔루션을 사용하고 있으며, 디지털 인증서를 스캔할 때 이미 사용 중인 인프라를 활용하고자 합니다.
이러한 취약성 검사 솔루션은 이미 네트워크 곳곳을 스캔하고, 전체 인벤토리와 기업의 비즈니스 환경을 구축하고 유지하고 있습니다. DigiCert 트러스트 수명 주기 관리자는 네트워크에 더 큰 부담을 더하여 SecOps 팀의 액세스 권한을 더욱 복잡하게 하는 대신, 기존의 데이터를 활용하여 즉시 전체 인증서 인벤토리를 구축할 수 있도록 합니다. 이렇게 통합함으로써 기존의 CLM 솔루션으로는 불가한 방식으로 암호화 자산을 종합적으로 기록할 수 있습니다.
키, 인증서와 같은 암호화 자산은 물리적인 데이터 센터에서 클라우드까지 모든 IT 환경에서 찾아볼 수 있습니다. 이러한 자산을 찾고 꾸준히 업데이트되는 중앙 인벤토리를 구축하는 일은 매우 복잡한 작업입니다. 조직에 간편하게 해당 자산을 발견할 수 있는 쉽게 배포 가능한 메커니즘이 있다면 인벤토리가 포괄적이고 실행 가능하다는 확신을 얻을 수 있습니다.
언제나 메커니즘의 발전을 위해 노력하는 DigiCert 트러스트 수명 주기 관리자를 통해 이러한 기능을 활용해 보세요. 암호화 자산을 가장 종합적인 관점에서 확인하고, 저희가 ‘중앙 기록(Central Book of Record)’이라고 하는 인벤토리가 계속해서 최신 상태로 유지된다는 확신을 얻도록 지원하는 DigiCert 트러스트 수명 주기 관리자는 조직의 고유한 요구를 충족하는 보안, 비즈니스 연속성, 빠른 문제 해결을 제시해 드립니다.
그림 2: Trust Lifecycle Manager가 기업 전반에서 인증서를 발견하는 여러 가지 방법
https://www.digicert.com/kr/trust-lifecycle-manager에서 DigiCert® Trust Lifecycle Manager에 관해 자세히 알아보세요.