2016.03.21

“사이버 보안의 기초” SSL에 대해 알아야 할 5가지

Jeremy Kirk | IDG News Service
사이버 공격의 증가와 정부 감시에 관한 관심 증가로 인터넷 보안 강화에 대한 요구가 높아지고 있다. 인터넷 보안의 큰 부분 중 하나는 웹사이트에 들어오고 나가는 트래픽을 암호화하는 것이다. 구글, 페이스북, 마이크로소프트는 이를 위해 SSL/TLS(Secure Sockets Layer/Transport Layer Security) 암호화를 강조한다. 이 암호화 기술을 도입하는 것은 때로 기술적으로 어렵거나 비용이 높을 수 있다. SSL에 대해 기본적으로 알아두어야 할 것을 살펴본다.

SSL/TLS란 무엇인가?
이는 1990년대 웹사이트가 ‘진짜’임을 확인하고 최종 사용자와 주고받는 데이터를 안전하게 처리하기 위해서 넷스케이프의 일부로 개발된 프로토콜이다. 공개 키 암호화 기술로 암호화된 연결을 생성하는데, 보통 ‘https’로 표시된다.

중요한 이유는 무엇인가?
http만을 이용해서 데이터를 주고받으면 해커가 중간에서 송수신되는 데이터를 가로챌 수 있다. 사용자들의 개인 정보가 악용될 가능성이 생기는 것이다. 최근에는 거의 모든 은행과 전자상거래 사이트는 SSL/TLS를 사용하지만, 이를 도입하지 않은 소규모 웹사이트도 상당수 존재한다.

도입이 어려운가?
SSL/TLS 도입은 특히 대형 웹사이트일수록 상당히 까다롭다. 여러 인증 기관이 웹사이트 인증을 위해 다양한 종류의 디지털 인증서를 판매하고 있으며, 인증의 종류에 따라서 인증 기관이 사이트 요청이 적법한 것인지 확인한다. 그러나 일부에서는 이 인증서의 가격이 높고 도입 방식이 복잡하다고 비판하는 목소리도 있다. 또한, 인증서도 일정 기간이 지나면 만료되기 때문에, IT 관리자는 반드시 갱신 시기를 알고 있어야 한다.

약점은 없는가?
간단히 말해서, 약점이 많다. 사이버 보안 전문가들은 몇 년간 SSL/TLS 연결을 악용한 여러 가지 공격 기법을 고안했다. 또한, 널리 사용되는 SSL 애플리케이션인 오픈SSL(OpenSSL)에서는 하트블리드(Heartbleed)같은 소프트웨어 취약점도 발견되었다. 인증 기관들도 때론 해킹을 당하는데, 공격자들은 피싱에 이용할 목적으로 악성 인증서를 만든다. 2011년 유명 해커인 목시 말린스파이크는 인증 기관 시스템의 여러 약점과 대체재를 찾는 일의 복잡성에 대해 설명한 바 있다. 여기에서 그는 “같은 시기에 만들어진 다른 프로토콜과 달리 SSL이 지금까지 지속되고 있는 것이 놀랍다”라고 말했다. 그가 지적한 SSL의 문제점 중 하나는 인증 기관이 너무 많다는 것이다. 현재 SSL/TLS 인증서를 발행하거나 판매하는 인증 기관이 600개가 넘으며, 그중에는 베리사인(Verisign)이나 코모도(Comodo)같은 대형 기관도 포함된다.

해결책은 무엇인가?
웹에서의 암호화 사용을 널리 퍼뜨리기 위한 움직임의 하나로 무료 인증서 관리 서비스를 제공하는 프로젝트인 ‘렛츠 인크립트(Let’s Encrypt)’가 지난해 출범되었다. 새로운 공격이 있을 때마다 SSL/TLS의 버그가 패치되지만, 현시점에서는 전체 시스템을 대체할 수 있는 실용적인 방안은 아니다. 전체 업계의 동의가 있어야 하는데, 시간이 오래 걸리는 일이다. 지금은 비공개 SSL/TLS 키를 보호하는 것이 가장 우선이 되어야 하며, 시중에는 이러한 디지털 키를 안전하게 관리할 수 있는 다양한 하드웨어 보안 모듈이 나와 있는 상태다. editor@itworld.co.kr 


2016.03.21

“사이버 보안의 기초” SSL에 대해 알아야 할 5가지

Jeremy Kirk | IDG News Service
사이버 공격의 증가와 정부 감시에 관한 관심 증가로 인터넷 보안 강화에 대한 요구가 높아지고 있다. 인터넷 보안의 큰 부분 중 하나는 웹사이트에 들어오고 나가는 트래픽을 암호화하는 것이다. 구글, 페이스북, 마이크로소프트는 이를 위해 SSL/TLS(Secure Sockets Layer/Transport Layer Security) 암호화를 강조한다. 이 암호화 기술을 도입하는 것은 때로 기술적으로 어렵거나 비용이 높을 수 있다. SSL에 대해 기본적으로 알아두어야 할 것을 살펴본다.

SSL/TLS란 무엇인가?
이는 1990년대 웹사이트가 ‘진짜’임을 확인하고 최종 사용자와 주고받는 데이터를 안전하게 처리하기 위해서 넷스케이프의 일부로 개발된 프로토콜이다. 공개 키 암호화 기술로 암호화된 연결을 생성하는데, 보통 ‘https’로 표시된다.

중요한 이유는 무엇인가?
http만을 이용해서 데이터를 주고받으면 해커가 중간에서 송수신되는 데이터를 가로챌 수 있다. 사용자들의 개인 정보가 악용될 가능성이 생기는 것이다. 최근에는 거의 모든 은행과 전자상거래 사이트는 SSL/TLS를 사용하지만, 이를 도입하지 않은 소규모 웹사이트도 상당수 존재한다.

도입이 어려운가?
SSL/TLS 도입은 특히 대형 웹사이트일수록 상당히 까다롭다. 여러 인증 기관이 웹사이트 인증을 위해 다양한 종류의 디지털 인증서를 판매하고 있으며, 인증의 종류에 따라서 인증 기관이 사이트 요청이 적법한 것인지 확인한다. 그러나 일부에서는 이 인증서의 가격이 높고 도입 방식이 복잡하다고 비판하는 목소리도 있다. 또한, 인증서도 일정 기간이 지나면 만료되기 때문에, IT 관리자는 반드시 갱신 시기를 알고 있어야 한다.

약점은 없는가?
간단히 말해서, 약점이 많다. 사이버 보안 전문가들은 몇 년간 SSL/TLS 연결을 악용한 여러 가지 공격 기법을 고안했다. 또한, 널리 사용되는 SSL 애플리케이션인 오픈SSL(OpenSSL)에서는 하트블리드(Heartbleed)같은 소프트웨어 취약점도 발견되었다. 인증 기관들도 때론 해킹을 당하는데, 공격자들은 피싱에 이용할 목적으로 악성 인증서를 만든다. 2011년 유명 해커인 목시 말린스파이크는 인증 기관 시스템의 여러 약점과 대체재를 찾는 일의 복잡성에 대해 설명한 바 있다. 여기에서 그는 “같은 시기에 만들어진 다른 프로토콜과 달리 SSL이 지금까지 지속되고 있는 것이 놀랍다”라고 말했다. 그가 지적한 SSL의 문제점 중 하나는 인증 기관이 너무 많다는 것이다. 현재 SSL/TLS 인증서를 발행하거나 판매하는 인증 기관이 600개가 넘으며, 그중에는 베리사인(Verisign)이나 코모도(Comodo)같은 대형 기관도 포함된다.

해결책은 무엇인가?
웹에서의 암호화 사용을 널리 퍼뜨리기 위한 움직임의 하나로 무료 인증서 관리 서비스를 제공하는 프로젝트인 ‘렛츠 인크립트(Let’s Encrypt)’가 지난해 출범되었다. 새로운 공격이 있을 때마다 SSL/TLS의 버그가 패치되지만, 현시점에서는 전체 시스템을 대체할 수 있는 실용적인 방안은 아니다. 전체 업계의 동의가 있어야 하는데, 시간이 오래 걸리는 일이다. 지금은 비공개 SSL/TLS 키를 보호하는 것이 가장 우선이 되어야 하며, 시중에는 이러한 디지털 키를 안전하게 관리할 수 있는 다양한 하드웨어 보안 모듈이 나와 있는 상태다. editor@itworld.co.kr 


X