- 출처 : http://blog.naver.com/dong6245/140105795227 -
1. SSL 가속기 정의
웹 브라우저 회사인 넷스케이프가 만든 SSL(Secure Socket Layer)은 널리 알려진 바와 같이 암호화와 복호화를 통해 데이터를 전달하여 안전한 통신을 가능하게 하는 기술입니다. SSL Key 교환과 Bulk 암호화 처리는 연산중심의 작업이기 때문에 웹 서버에서 SSL을 처리하는 전통적인 방식을 사용하면 서버의 CPU에 많은 작업 부하를 주게 됩니다.
SSL 가속기 (SSL Accelator)는 웹 서버에 부하를 주지 않고 SSL 처리를 하기 위해 SSL 처리에 특화된 전용장비를 통해 처리하도록 하는 솔루션입니다.
2. SSL 가속기의 역할
대형 포털사이트와 같이 트래픽이 많으면서 SSL 방식의 보안서버를 운영하는 사이트가 SSL을 웹 서버에서 직접 운영하게 되면, 서버의 부하가 커지게 되고 사용자의 응답시간이 매우 느려질 수 있습니다.
SSL 가속기는 SSL 연결에 따른 모든 암호화를 서버로부터 이관받아 독립된 장치에서 전담함으로써 서버의 부하를 감소시키고 웹 어플리케이션 시스템의 전체 성능을 향상시킬 수 있습니다.
SSL 가속기는 SSL 연결에 따른 모든 암호화를 서버로부터 이관받아 독립된 장치에서 전담함으로써 서버의 부하를 감소시키고 웹 어플리케이션 시스템의 전체 성능을 향상시킬 수 있습니다.
또한 SSL 보안에 사용되는 서버의 암호화키를 SSL 가속기에 별도로 저장함으로써 암호화 키 유출에 따른 위험성을 줄일 수 있습니다.
서버 키가 유출될 경우 SSL 보안 통신 데이터가 해킹될 수 있고 허위 사이트나 피싱 사이트에 의한 피해가 발생할 수 있습니다.
그리고 SSL 인증서를 구입하여 웹 서버 대신 웹 가속기에 설치가 가능하기 때문에 기존에 운영중인 웹 프로그램을 수정할 필요가 없다는 장점을 가지고 있습니다.
서버 키가 유출될 경우 SSL 보안 통신 데이터가 해킹될 수 있고 허위 사이트나 피싱 사이트에 의한 피해가 발생할 수 있습니다.
그리고 SSL 인증서를 구입하여 웹 서버 대신 웹 가속기에 설치가 가능하기 때문에 기존에 운영중인 웹 프로그램을 수정할 필요가 없다는 장점을 가지고 있습니다.
3. SSL 가속기의 종류
① 1세대 SSL 가속기 ‘PCI / SCSI 카드타입’
SSL 가속기의 첫 번째 세대는 서비스를 제공하는 웹 서버가 작동하는 하드웨어에 직접적으로 설치가 되는 PCI나 SCSI 타입의 카드 형태의 제품들입니다.
PCI나 SCSI 카드 타입의 SSL 가속기 제품군은 우선 SSL 핸드쉐이크 과정을 담당함으로써 CPU에 부과되던 높은 부하를 절감시켰으며 설치 구조상 실제 콘텐츠 서비스를 수행하는 웹 서버 또는 어플리케이션 서버가 작동하는 하드웨어의 슬롯에 직접 장착되기 때문에
SSL 사용시 보호되어야 할 클라이언트 브라우저로부터 웹 서버 본체까지의 엔드 투 엔드(end-to-end)의 완벽한 보안이 이루어집니다.
① 1세대 SSL 가속기 ‘PCI / SCSI 카드타입’
SSL 가속기의 첫 번째 세대는 서비스를 제공하는 웹 서버가 작동하는 하드웨어에 직접적으로 설치가 되는 PCI나 SCSI 타입의 카드 형태의 제품들입니다.
PCI나 SCSI 카드 타입의 SSL 가속기 제품군은 우선 SSL 핸드쉐이크 과정을 담당함으로써 CPU에 부과되던 높은 부하를 절감시켰으며 설치 구조상 실제 콘텐츠 서비스를 수행하는 웹 서버 또는 어플리케이션 서버가 작동하는 하드웨어의 슬롯에 직접 장착되기 때문에
SSL 사용시 보호되어야 할 클라이언트 브라우저로부터 웹 서버 본체까지의 엔드 투 엔드(end-to-end)의 완벽한 보안이 이루어집니다.
그러나 이러한 제품군에는 치명적인 단점이 존재하는데 하나는 가속기 설치시 반드시 시스템의 중단이 필요하다는 것이고, 또 하나는 확장성의 문제입니다. 카드 타입의 가속기는 하나의 가속기가 하나의 서버만을 감당하는 물리적인 구성의 한계 때문에 여러 가지 이유로
인해 서버의 증설이 요구되는 경우 서버 증설 숫자만큼 가속기의 추가 구매 또한 필요하기 때문입니다.
인해 서버의 증설이 요구되는 경우 서버 증설 숫자만큼 가속기의 추가 구매 또한 필요하기 때문입니다.
② 2세대 SSL 가속기 ‘SSL 오프로더’
1세대 제품의 문제점을 개선하고 나온 2세대 SSL 가속기는 네트워크 장비 타입으로 흔히 SSL 오프로더(Offloader)라고 불리는 제품군입니다.
SSL 오프로더는 기존의 카드타입 가속기들과 달리 하나의 가속기가 여러 대의 웹 서버나 애플리케이션 서버를 위한 SSL 가속기능을 수행함으로 기존 1세대 제품군의 확장성 문제를 보완했습니다.
웹 서버나 애플리케이션 서버와 분리된 설치 방법으로 인해 가속기 드라이버와 서버 하드웨어 충돌 등으로 인해 발생할 수 있는 문제의 소지를 없앴습니다.
1세대 제품의 문제점을 개선하고 나온 2세대 SSL 가속기는 네트워크 장비 타입으로 흔히 SSL 오프로더(Offloader)라고 불리는 제품군입니다.
SSL 오프로더는 기존의 카드타입 가속기들과 달리 하나의 가속기가 여러 대의 웹 서버나 애플리케이션 서버를 위한 SSL 가속기능을 수행함으로 기존 1세대 제품군의 확장성 문제를 보완했습니다.
웹 서버나 애플리케이션 서버와 분리된 설치 방법으로 인해 가속기 드라이버와 서버 하드웨어 충돌 등으로 인해 발생할 수 있는 문제의 소지를 없앴습니다.
그러나 네트워크 구성상 가속기와 서버사이에 물리적인 공백 구간이 있을 수 밖에 없고 브라우저가 발생시킨 암호화 패킷은 가속기에 복호화되고 클리어 텍스트(Clear Text)로 이 구간을 통과해 서버에 전달되기 때문에 실제 클라이언트 브라우저로부터 서버까지의 엔드 투 엔드 보안이 불가능합니다. 또한 일반적인 인라인 구성(In-line Configuration)의 경우 설치시 서비스의 일시적 중단을 피할 수는 없습니다.
몇 가지 단점에도 불구하고 최근에는 단독 장비 제품형태의 2세대 제품군이 주류를 이루어 시장을 선도하고 있습니다. 또한 2세대 제품군이 가지는 단점을 보완한 장비들도 개발되고 있습니다. 특히 백엔드 (Back end) SSL 기능을 통한 엔드 투 엔드 보안 제공이나 원 암 구성
(One-arm Configuration)을 통한 서비스 중단없는 설치기능 등을 통해 보다 효과적으로 SSL 가속기를 실제 네트워크상에 구현할 수 있는 다양한 방법들이 나오고 있습니다.
(One-arm Configuration)을 통한 서비스 중단없는 설치기능 등을 통해 보다 효과적으로 SSL 가속기를 실제 네트워크상에 구현할 수 있는 다양한 방법들이 나오고 있습니다.
※ 참고문헌
1. SSL 프로토콜에 대한 이해, 퓨쳐시스템 http://www.future.co.kr/
2. 보안서버 가속을 위한 SSL 가속기 솔루션, 어레이네트웍스 코리아
3. SSL Accelerator for Secure Web Server, 엑스비전씨큐리티시스템
1. SSL 프로토콜에 대한 이해, 퓨쳐시스템 http://www.future.co.kr/
2. 보안서버 가속을 위한 SSL 가속기 솔루션, 어레이네트웍스 코리아
3. SSL Accelerator for Secure Web Server, 엑스비전씨큐리티시스템