보안

“공개 Wi-Fi 보안 주의보!” 파이어쉽 공격 방어하는 법

Gregg Keizer | Computerworld 2010.10.29

보안 전문가들은 아마추어들이 Wi-Fi를 통해 페이스북, 트위터, 기타 인기 있는 서비스에 로그인 할 수 있게 하는 새로운 파이어폭스 브라우저의 애드온으로부터 스스로를 보호할 수 있는 방법을 제시했다.

 

파이어쉽(Firesheep)은 모질라(Mozilla)의 파이어폭스 브라우저에 사이드바를 추가하여 어떤 사용자가 커피숍의 Wi-Fi 네트워크와 같은 공개된 네트워크에서 안전하지 않은 사이트를 방문했는지 보여준다.

 

해커는 더블클릭만으로 트위터와 페이스북을 비롯하여 bit.ly나 플리커(Flickr)와 같은 사이트로 로그인할 수 있다.

 

지난 일요일 연구원인 에릭 버틀러가 파이어쉽을 출시한 이후 이 애드온은 거의 22만 번이나 다운로드 되었다.

 

AP4101.JPG샌프란시스코에 있는 엔써클 시큐리티(nCircle Security)에서 보안 작업 책임자로 있는 앤드류 스톰은 “오늘 피츠 커피(Peet’s Coffee)에 있었을 때 누군가가 파이어쉽을 사용하고 있었다. 그 곳에 있던 사람은 10명에 불과했는데 그 중에 파이어쉽을 쓰는 사람이 있었던 것이다!”라고 말했다.

 

그렇지만 스톰과 다른 전문가들에 따르면 사용자들에게 방어 수단이 없는 것은 아니다.

 

보안 전문가들은 화요일에 악질적인 파이어쉽 이용자로부터 스스로를 지킬 수 있는 방법 중 하나는 암호화되지 않은 채 비밀번호만 알면 사용할 수 있는 공공의 Wi-Fi 네트워크를 사용하지 않는 것이라고 말했다.

 

그렇지만 시큐리티 이노베이션(Security Innovation)의 수석 보안 엔지니어인 이안 갤러거는 이는 하찮은 일로 중요한 것을 버리게 되는 셈이라고 주장했다. 갤러거는 지난주에 샌디에고 컨퍼런스에서 파이어쉽을 선보인 두 명의 연구원 중 한 사람이다.

 

지난 화요일에 갤러거는 블로그 포스팅에서 “개방된 Wi-Fi는 파이어쉽의 성능을 시험할 수 있는 중요한 곳이긴 하지만 그것이 문제는 아니다”라며 “Wi-Fi 지역이 취약한 것이 아니라 사용자가 이용하는 사이트의 보안성에 문제가 있는 것”이라고 지적했다.

 

무료로 개방된 Wi-Fi 지역은 많은 사람들이 당연하게 받아들이고 있지만 그것이 문제가 되지는 않는다. 뉴스를 읽거나 근처의 식당을 검색하는 것과 같이 공공 핫스팟에서도 위험도가 낮은 일도 얼마든지 많이 할 수 있다.

 

Wi-Fi 핫스팟을 계속 사용하려면 사용자는 어떻게 해야 할까.

 

VPN을 사용하라

 

안티바이러스 업체인 소포스(SoPhos)의 수석 보안 어드바이저 쳇 위스니스키는 공항이나 커피숍과 같은 공공 Wi-Fi 네트워크로 접속할 때 VPN(가상 사설 통신망: Virtual Private Network)을 사용하는 것이 가장 좋은 방어책이라고 말한다.

 

직원이 업무적으로 밖에서 사무실 네트워크로 접속할 때는 VPN을 사용하지만, 일반 사용자들은 인터넷에 대한 안전한 ‘터널’을 마련하지 않는 경향이 많다.

 

위스니스키는 “사용자의 로그인 정보를 ‘사이드제킹(sidejacking)’ 하기 위해 파이어쉽을 실행하는 누군가를 막을 수 있는 VPN 서비스가 많으며, 가격은 일반적으로 한 달에 5달러~10달러 정도이다”라고 전했다. VPN은 예를 들어 공항의 노트북과 같은 컴퓨터와 파이어쉽의 하이재킹에 취약한 사이트를 포함한 모든 인터넷 간의 트래픽을 암호화한다. 위스니스키는 “이는 정말 훌륭한 해결법으로 암호화된 Wi-Fi를 사용하는 것과 아무런 차이도 없다”라고 말했다.

 

스트롱 VPN(Strong VPN)과 같은 업체는 월 7달러부터 년 55달러에 이르는 다양한 서비스를 제공하고 있다.

 

그러나 갤러거는 VPN이 모든 것을 해결하는 방책은 아니라고 경고했다. “이는 단순히 문제를 VPN이나 SSH로 미루는 것이다”라며 “사용자의 트래픽은 노트북을 떠났던 것처럼 해당 서버를 떠나게 될 것이므로 파이어쉽이나 다른 툴을 실행하는 사람은 동일한 방법으로 사용자의 데이터에 접근할 수 있다”라고 말했다.

 

또한 그는 “맹목적으로 ‘VPN을 사용’하는 것이 진정한 해법은 될 수 없으며 보안에 대한 그릇된 개념만 심어줄 수 있다”라고 덧붙였다.

 

스트롱 VPN은 이에 의의를 제기했다. 이 회사의 대변인은 “우리 회사의 서버는 안전한 데이터센터에 있기 때문에 오고 가는 트래픽을 ‘엿볼’ 수는 없’라고 반박하면서 “예를 들어 샌프란시스코에 있는 사용자의 노트북은 미국 내 우리 회사의 서버 중 하나로 흘러 들어갈 때 모두 암호화된다”라고 말했다.

 

스톰은 스트롱 VPN의 주장에 동의했다. 그는 “VPN이 근본적인 문제를 해결하지 못한다는 갤러거의 의견은 일리가 있습니다. VPN 서버에서 액세스하고자 하는 사이트로 전송될 때 트래픽이 암호화되지 않는 것이 사실이긴 하지만, 누군가가 그 트래픽을 염탐할 가능성은 매우 낮다”라고 말했다.

 

F-시큐어(F-Secure)의 수석 어드바이저인 씬 설리번은 “이름은 아니지만 실질적인 VPN”으로 코모도(Commodo)의 트러스트커넥트(TrustConnect)를 추천했다. F-시큐어의 라이벌인 코모도는 이 서비스를 월 7달러나 연 50달러로 판매하고 있다.

 

무료 트래픽 암호화 프로그램

 

무료 서비스를 원할 경우 선택할 수 있는 옵션이 몇 가지 있다. 특정 사이트에 접근할 때 강제로 브라우저가 암호화된 연결을 사용하도록 만드는 파이어폭스의 애드온 등이다.

 

파이어폭스의 애드온 중 하나인 HTTPS-Everywhere는 전자 프론티어 재단(Electronic Frontier Foundation(EFF))이 제공한 것으로 트위터, 페이스북, 페이팔, 구글의 검색 엔진 등 이미 정의된 사이트 리스트에서만 작동한다.

 

또 다른 옵션인 Force-TLS는 EEF의 애드온과 동일한 목적을 위해 쓰이지만 사용자가 암호화를 해야 할 사이트를 지정할 수 있다.

 

그렇지만 마이크로소프트의 인터넷 익스플로러나 구글의 크롬과 같은 다른 브라우저에는 이와 유사한 애드온이 없으며 이는 사용자들을 방치하는 셈이다.

 

설리번은 “파이어쉽이 EEF나 다른 오픈 소스 단체들에게 자극을 주어 이런 애드온들이 추가적으로 개발되길 기대한다”라고 말했다.

 

개인용 Wi-Fi 핫스팟 ‘MiFi’

 

이런 개발 작업은 수 개월이 걸릴 수 있다. 그 기간 동안 문제를 해결할 방법으로 설리번은 “MiFi 기기는 트래픽을 암호화할 수 있기 때문에 이것이 있으면 자신만의 Wi-Fi 핫스팟을 갖고 다닐 수 있는 셈이다’라고 말했다.

 

문제는 MiFi가 저렴하지 않다는 것이다. 예를 들어 버라이존(Verizon)은 하드웨어를 무료로 주지만 3G 네트워크에 액세스하기 위해 월 40달러에서 60달러의 요금을 받는다.

 

결과적으로 파이어폭스에 노출된 약점을 봉쇄하려는 시도는 임시방편에 불과하다. 버틀러와 갤러거는 이 애드온의 출시를 옹호하면서 은폐되어 있는 실제 문제는 사이트의 완전한 암호화가 이루어지지 않고 있다는 것이라고 지적했다. 이어 사이트들과 서비스들의 자체 노력만이 이를 해결할 수 있다고 덧붙였다.

 

버틀러는 화요일에 자신의 블로그에서 “여기서 중요한 것은 파이어쉽의 성공이 아니라 이런 일이 가능하다는 사실이다. 앞으로 파이어쉽의 성공 잣대는 이에 쏠린 관심의 정도가 아니라 적절한 보안을 강구하는 사이트의 수에 의해 결정될 것이다. 진정한 성공은 파이어쉽이 더 이상 힘을 발휘하지 못할 때 이루어지게 되는 셈이다”라고 말했다.

 

그렇지만 당장은 보안 전문가들조차 걱정하고 있는 실정이다. 위스니스키는 컴퓨터월드와의 대화에서 “지금 공항에 있는데 누군가가 여기서 파이어쉽을 사용하고 있는 건 아닌지 걱정이 된다. 누군가가 파이어쉽을 실행하고 있는지 알아보기 위해 컴퓨터 사용자들을 몰래 봐야겠다”라고 전했다. gkeizer@computerworld.com

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.