2014.04.22

"보안 클라우드 스토리지조차 안전하지 않다"...존스홉킨스 대학 연구원

Brandon Butler | Network World
일부 클라우드 스토리지 제공업체는 클라우드 보안의 최첨단 기술인 영지식(zero-knowledge) 정책을 적용해 개발업체가 고객 데이터를 들여다 보는 것이 불가능하다고 주장한다.

그러나 최근 존스홉킨스 대학의 컴퓨터공학도들이 연구한 결과 영지식 기술이 정말 안전한 지에 대해 의문을 던졌다. 영지식이란 자신이 갖고 있는 비밀번호를 노출하지 않고 자신이 비밀번호를 알고 있다는 것을 인증하는 보안 기술이다.

일반적으로 영지식(Zero knowledge) 클라우드 서비스는 암호화된 상태로 고객 데이터를 저장하고 암호화를 풀기 위한 키를 고객들에게만 제공한다. 개발업체는 이 키를 갖고 있지 않다.

그러나 존스홉킨스대학 연구원들은 이 키들은 클라우드 서비스 개발업체들이 고객 데이터에 들어갈 수 있도록 허용한 점을 공격한다면 취약할 수 있다는 점을 발견했다.

이 보고서는 영지식 클라우드에 의문을 던지면서 개발업체들이 어떻게 고객 데이터를 다루는 지에 대해 완전히 알아야 한다고 주장했다.

존스홉킨스 대학 연구원들은 스파이더 오크(Spider Oak), 우알라(Wuala), 그리고 트레소리트(Tresorit)와 같은 영지식 클라우드 개발업체들을 진단했다.

이 업체들은 일반적으로 클라우드에 저장할 때 데이터를 암호화하는 수단으로 영지식을 사용하며, 사용자가 클라우드에서 다시 데이터를 다운로드할 때 복호화한다.

이 모델은 상당히 안전하다. 그러나 이 연구원들은 만약 데이터가 클라우드에 공유됐다면 그것은 클라우드 서비스를 통해 데이터를 보냈다는 것을 의미하며 사용자가 그것을 다운로드하지 않아도 개발업체는 그들의 시스템상에서 그 데이터를 볼 기회를 가진다고 경고했다.

이 보고서의 제 1저자이자 존스홉킨스대학 컴퓨터공학과 정보 보안 연구소에서 박사과정을 밟고 있는 듀에인 윌슨은 보고서 리뷰에서 "클라우드 스토리지 서비스를 통해 다른 수신인과 함께 데이터가 공유될 때마다 제공업체들은 고객의 파일과 다른 데이터에 접속할 수 있다"고 말했다.

이 보고서의 PDF 본은 여기에서 다운로드할 수 있다. http://arxiv.org/pdf/1404.2697v1.pdf
이 개발업체들은 암호화된 데이터를 풀기 위한 키를 제공하기 위해서는 사용자 인증을 받게 되는데, 인증은 보통 신뢰성있는 중개 서비스에 의존한다. 이 때 거짓 인증으로 암호화 데이터를 복호화할 수 있는 가능성으로 인해 제공업체들이 이 정보를 볼 수 있도록 허용한다.

이는 전통적인 중간자(man in the middle) 보안 공격과 유사하다.

이 연구원들은 해당 업체들이 고객 데이터에 접근했다는 어떤 증거도, 의심스러운 행동도 발견하지 못했다고 말했다.

그러나 이 연구원들은 "아무런 증거를 갖고 있지 않지만 이런 취약점의 존재 자체를 말하는 것"이라며, "보안 클라우드 스토리지 제공업체가 고객들의 개인 데이터에 접속하는 일이 쉽게 발생할 수 있다는 것을 제시한 것"이라고 말했다.

이 연구를 지도한 주세페 아테니스 부교수는 "이번 보고서는 자신의 이웃이 집 문을 잠그지 않고 떠난 것을 발견한 것과 같다. 물론 아무 것도 도난 당하지 않을 수 있다. 그러나 그 이웃집 주인은 도둑들이 쉽게 안으로 들어올 수 있다는 것을 알아야 한다"고 전했다.

클라우드 스토리지 서비스 개발업체 가운데 하나인 스파이더 오크의 대변인은 이 보고서의 공지식 서비스 시장에 대한 일부 의견에 대해 동의했다.

스파이더 오크는 고객들에게 자사의 웹 포털을 통해 파일들을 이전하는 것보다 데스크톱 애플리케이션을 사용하기를 권장하고 있다.
스파이더 오크의 데스크톱 애플리케이션를 사용하면 최종 사용자는 데이터 복호화를 하기 위한 증명 단계에서 안전할 것이며, 업체들이 이 데이터를 들여다 볼 수 있는 기회를 없앤다.

스파이더 오크는 서비스 사용자들이 데스크톱 애플리케이션을 사용해야만 진정한 공지식 저장을 할 수 있다는 것을 이해한다는 계약 동의서를 받는다. editor@itworld.co.kr


2014.04.22

"보안 클라우드 스토리지조차 안전하지 않다"...존스홉킨스 대학 연구원

Brandon Butler | Network World
일부 클라우드 스토리지 제공업체는 클라우드 보안의 최첨단 기술인 영지식(zero-knowledge) 정책을 적용해 개발업체가 고객 데이터를 들여다 보는 것이 불가능하다고 주장한다.

그러나 최근 존스홉킨스 대학의 컴퓨터공학도들이 연구한 결과 영지식 기술이 정말 안전한 지에 대해 의문을 던졌다. 영지식이란 자신이 갖고 있는 비밀번호를 노출하지 않고 자신이 비밀번호를 알고 있다는 것을 인증하는 보안 기술이다.

일반적으로 영지식(Zero knowledge) 클라우드 서비스는 암호화된 상태로 고객 데이터를 저장하고 암호화를 풀기 위한 키를 고객들에게만 제공한다. 개발업체는 이 키를 갖고 있지 않다.

그러나 존스홉킨스대학 연구원들은 이 키들은 클라우드 서비스 개발업체들이 고객 데이터에 들어갈 수 있도록 허용한 점을 공격한다면 취약할 수 있다는 점을 발견했다.

이 보고서는 영지식 클라우드에 의문을 던지면서 개발업체들이 어떻게 고객 데이터를 다루는 지에 대해 완전히 알아야 한다고 주장했다.

존스홉킨스 대학 연구원들은 스파이더 오크(Spider Oak), 우알라(Wuala), 그리고 트레소리트(Tresorit)와 같은 영지식 클라우드 개발업체들을 진단했다.

이 업체들은 일반적으로 클라우드에 저장할 때 데이터를 암호화하는 수단으로 영지식을 사용하며, 사용자가 클라우드에서 다시 데이터를 다운로드할 때 복호화한다.

이 모델은 상당히 안전하다. 그러나 이 연구원들은 만약 데이터가 클라우드에 공유됐다면 그것은 클라우드 서비스를 통해 데이터를 보냈다는 것을 의미하며 사용자가 그것을 다운로드하지 않아도 개발업체는 그들의 시스템상에서 그 데이터를 볼 기회를 가진다고 경고했다.

이 보고서의 제 1저자이자 존스홉킨스대학 컴퓨터공학과 정보 보안 연구소에서 박사과정을 밟고 있는 듀에인 윌슨은 보고서 리뷰에서 "클라우드 스토리지 서비스를 통해 다른 수신인과 함께 데이터가 공유될 때마다 제공업체들은 고객의 파일과 다른 데이터에 접속할 수 있다"고 말했다.

이 보고서의 PDF 본은 여기에서 다운로드할 수 있다. http://arxiv.org/pdf/1404.2697v1.pdf
이 개발업체들은 암호화된 데이터를 풀기 위한 키를 제공하기 위해서는 사용자 인증을 받게 되는데, 인증은 보통 신뢰성있는 중개 서비스에 의존한다. 이 때 거짓 인증으로 암호화 데이터를 복호화할 수 있는 가능성으로 인해 제공업체들이 이 정보를 볼 수 있도록 허용한다.

이는 전통적인 중간자(man in the middle) 보안 공격과 유사하다.

이 연구원들은 해당 업체들이 고객 데이터에 접근했다는 어떤 증거도, 의심스러운 행동도 발견하지 못했다고 말했다.

그러나 이 연구원들은 "아무런 증거를 갖고 있지 않지만 이런 취약점의 존재 자체를 말하는 것"이라며, "보안 클라우드 스토리지 제공업체가 고객들의 개인 데이터에 접속하는 일이 쉽게 발생할 수 있다는 것을 제시한 것"이라고 말했다.

이 연구를 지도한 주세페 아테니스 부교수는 "이번 보고서는 자신의 이웃이 집 문을 잠그지 않고 떠난 것을 발견한 것과 같다. 물론 아무 것도 도난 당하지 않을 수 있다. 그러나 그 이웃집 주인은 도둑들이 쉽게 안으로 들어올 수 있다는 것을 알아야 한다"고 전했다.

클라우드 스토리지 서비스 개발업체 가운데 하나인 스파이더 오크의 대변인은 이 보고서의 공지식 서비스 시장에 대한 일부 의견에 대해 동의했다.

스파이더 오크는 고객들에게 자사의 웹 포털을 통해 파일들을 이전하는 것보다 데스크톱 애플리케이션을 사용하기를 권장하고 있다.
스파이더 오크의 데스크톱 애플리케이션를 사용하면 최종 사용자는 데이터 복호화를 하기 위한 증명 단계에서 안전할 것이며, 업체들이 이 데이터를 들여다 볼 수 있는 기회를 없앤다.

스파이더 오크는 서비스 사용자들이 데스크톱 애플리케이션을 사용해야만 진정한 공지식 저장을 할 수 있다는 것을 이해한다는 계약 동의서를 받는다. editor@itworld.co.kr


X