2011.04.12

"HTTPS가 다시 공격을 받고 있다" : EEF

Keir Thomas | PCWorld
전자프론티어재단(Electronic Frontier Foundation, EFF)는 웹 보안의 기반 시스템으로 사용되고 있는 SSL 인증 시스템이 전혀 신뢰할 만하지 않다는 조사 결과를 발표했다.
 
SSL 조사 프로젝트의 일부로, EEF는 1만 개에 달하는 SSL 인증서들이 사실은 인증서를 받을 수 없는 부적절한 도메인에 발급되었다는 사실을 밝혀냈다. 이는 인증서 발급이 필수적인 확인 절차를 거치지 않고 이뤄지고 있음을 의미한다.
 
대부분의 사용자는 온라인 뱅킹이나 쇼핑몰, 혹은 웹메일 서비스 업체와의 연결이 안전한지 알려주는 자물쇠 표시를 알고 있다. 게다가 웹 사이트 주소에는 https://가 붙어 접속의 안전성을 확인해 준다.
 
이 시스템은 사용자의 브라우저에 공공 SSL 인증서를 전송하는 원격 웹 서버에 의존한다. 몇 단계의 암호 처리 과정을 거쳐, 사용자의 브라우저는 원격 서버를 확인하고, 잘못된 사이트에 연결되지 않았음을 검증할 수 있다. 또한 데이터 전달을 암호화하는 것도 가능하다.
 
따라서, SSL 인증서의 진정성이 가장 중요하다. 인증서를 발급하는 인증기관(Certificate Authorities, 이하 CA)이라고 알려진 기업의 수가 전 세계적으로 엄격하게 제한되어 있는 것은 바로 이 때문이다.
 
자격 미달 도메인에 SSL 인증서 3만여 건 발급
사용자는 다양한 종류의 SSL 인증서들을 구매할 수 있다. CA는 아주 기본적인 SSL 인증서를 확인해 도메인에 등록되어 있는 회사와 실제 회사가 동일함을 보장한다. 좀 더 엄격한 인증서로는, 평이 좋은 대부분의 기관들에서 사용하는 EV(Extended Validation)인증서 같은 것들이 있는데, 이는 CA가 더 엄격한 조사를 통해 기업의 물리적 위치를 확인해야 한다. SSL 인증서를 구매하는 것이 비싼 이유는 여기에 있다.
 
만약 CA가 간단하게 한 단어, 예를 들면 “메일”이나 “웹”과 같은 것에 대한 인증서를 발급한다면, 이는 실제 인터넷 주소가 아니므로 확인 절차가 썩 만족스럽지 않을 것임을 시사한다. 그리고 EFF는 실제로 이런 충분하지 못한 조사가 이뤄지고 있다는 사실을 발견한 것이다.
 
EFF는 ‘자격 미달인’ 도메인 이름에 대한 인증서들을 3만 7,244건이나 발견했는데, 이들 도메인은 인터넷 상에서 단순히 의미 없는 단어나 용어에 불과한 것으로 절대로 인증서를 발급해서는 안 되는 일이었다.
 
문제는 주로 기업 네트워크 관리자들에 의해 발생된다. 이들은 내부 네트워크, 즉 인트라넷에 접속한 컴퓨터 간 연결 보안을 확보하기 위해 “메일”이나 “웹” 같은 단어에 대한 SSL 인증서를 구매한다. 직원들로 하여금 기업 메일 서버에 접근하기 위해 브라우저에 mail.mycompany.com을 치게 하는 대신, 네트워크 관리자는 예를 들면 직원들이 “mail”이라고만 칠 수 있도록 네트워크를 설정할 수 있다.
 
그러나 해커들로부터 이런 연결의 보안을 확보하기 위해서, 네트워크 관리자는 “메일”이라는 단어가 직접적으로 가리키는 컴퓨터에 대한 SSL 인증서를 구매하고자 할 것이다. 만약 CA가 이런 요청에 대해 가장 기본적인 검토를 수행하고, 그것이 실제로 존재하는 도메인이 아니라는 사실을 알아차린다면, 그런 인증서를 구매하는 것으느 불가능할 것이다.
 
추가적으로 진행된 연구에서 드러났듯, CA들이 실제로 존재하지 않는 최상위 도메인(top-level-domain, 이하 TLD)과 관련된 단어로 인증서를 발급해주고 있다는 사실은 더욱 우려스럽다. TLD는 웹 주소의 마지막 단어로 예를 들면 .com, .org, .net 같은 것들인데, 이들은 기업 환경 내에서 서버의 특성이나 위치를 나타내기 위해 사용될 가능성이 크다. 예를 들면 “mail.nyc”는 아마 뉴욕시에 있는 메일 서버를 가리킬 것이다. “web.private”라는 주소는 비공적인 웹 서버를 가리킬 수도 있다.
 


2011.04.12

"HTTPS가 다시 공격을 받고 있다" : EEF

Keir Thomas | PCWorld
전자프론티어재단(Electronic Frontier Foundation, EFF)는 웹 보안의 기반 시스템으로 사용되고 있는 SSL 인증 시스템이 전혀 신뢰할 만하지 않다는 조사 결과를 발표했다.
 
SSL 조사 프로젝트의 일부로, EEF는 1만 개에 달하는 SSL 인증서들이 사실은 인증서를 받을 수 없는 부적절한 도메인에 발급되었다는 사실을 밝혀냈다. 이는 인증서 발급이 필수적인 확인 절차를 거치지 않고 이뤄지고 있음을 의미한다.
 
대부분의 사용자는 온라인 뱅킹이나 쇼핑몰, 혹은 웹메일 서비스 업체와의 연결이 안전한지 알려주는 자물쇠 표시를 알고 있다. 게다가 웹 사이트 주소에는 https://가 붙어 접속의 안전성을 확인해 준다.
 
이 시스템은 사용자의 브라우저에 공공 SSL 인증서를 전송하는 원격 웹 서버에 의존한다. 몇 단계의 암호 처리 과정을 거쳐, 사용자의 브라우저는 원격 서버를 확인하고, 잘못된 사이트에 연결되지 않았음을 검증할 수 있다. 또한 데이터 전달을 암호화하는 것도 가능하다.
 
따라서, SSL 인증서의 진정성이 가장 중요하다. 인증서를 발급하는 인증기관(Certificate Authorities, 이하 CA)이라고 알려진 기업의 수가 전 세계적으로 엄격하게 제한되어 있는 것은 바로 이 때문이다.
 
자격 미달 도메인에 SSL 인증서 3만여 건 발급
사용자는 다양한 종류의 SSL 인증서들을 구매할 수 있다. CA는 아주 기본적인 SSL 인증서를 확인해 도메인에 등록되어 있는 회사와 실제 회사가 동일함을 보장한다. 좀 더 엄격한 인증서로는, 평이 좋은 대부분의 기관들에서 사용하는 EV(Extended Validation)인증서 같은 것들이 있는데, 이는 CA가 더 엄격한 조사를 통해 기업의 물리적 위치를 확인해야 한다. SSL 인증서를 구매하는 것이 비싼 이유는 여기에 있다.
 
만약 CA가 간단하게 한 단어, 예를 들면 “메일”이나 “웹”과 같은 것에 대한 인증서를 발급한다면, 이는 실제 인터넷 주소가 아니므로 확인 절차가 썩 만족스럽지 않을 것임을 시사한다. 그리고 EFF는 실제로 이런 충분하지 못한 조사가 이뤄지고 있다는 사실을 발견한 것이다.
 
EFF는 ‘자격 미달인’ 도메인 이름에 대한 인증서들을 3만 7,244건이나 발견했는데, 이들 도메인은 인터넷 상에서 단순히 의미 없는 단어나 용어에 불과한 것으로 절대로 인증서를 발급해서는 안 되는 일이었다.
 
문제는 주로 기업 네트워크 관리자들에 의해 발생된다. 이들은 내부 네트워크, 즉 인트라넷에 접속한 컴퓨터 간 연결 보안을 확보하기 위해 “메일”이나 “웹” 같은 단어에 대한 SSL 인증서를 구매한다. 직원들로 하여금 기업 메일 서버에 접근하기 위해 브라우저에 mail.mycompany.com을 치게 하는 대신, 네트워크 관리자는 예를 들면 직원들이 “mail”이라고만 칠 수 있도록 네트워크를 설정할 수 있다.
 
그러나 해커들로부터 이런 연결의 보안을 확보하기 위해서, 네트워크 관리자는 “메일”이라는 단어가 직접적으로 가리키는 컴퓨터에 대한 SSL 인증서를 구매하고자 할 것이다. 만약 CA가 이런 요청에 대해 가장 기본적인 검토를 수행하고, 그것이 실제로 존재하는 도메인이 아니라는 사실을 알아차린다면, 그런 인증서를 구매하는 것으느 불가능할 것이다.
 
추가적으로 진행된 연구에서 드러났듯, CA들이 실제로 존재하지 않는 최상위 도메인(top-level-domain, 이하 TLD)과 관련된 단어로 인증서를 발급해주고 있다는 사실은 더욱 우려스럽다. TLD는 웹 주소의 마지막 단어로 예를 들면 .com, .org, .net 같은 것들인데, 이들은 기업 환경 내에서 서버의 특성이나 위치를 나타내기 위해 사용될 가능성이 크다. 예를 들면 “mail.nyc”는 아마 뉴욕시에 있는 메일 서버를 가리킬 것이다. “web.private”라는 주소는 비공적인 웹 서버를 가리킬 수도 있다.
 


X