SSL(보안 통신, Secure Socket Layer)은 우리가 사용하는 웹 환경에서 서로 주고 받는 데이터의 안정성 및 보안을 강화하는데 최적의 보안 기술입니다.

하지만, 최근 SSL은 알고리즘 성격의 취약점 뿐만 아니라 발급 기관(Certificate Authority)의 발급 과정의 허술함으로 인해 명성에 먹칠을 하고 있는 형국입니다.

해커들의 국제적인 경연장으로는 블랙햇(BlackHat)과 데프콘(DEFCON)이 유명합니다. 최근 진행된 DEFCON17에서는 SSL 기술을 사용하기 위해 필요한 인증서를 발행하는 인증 기관의 절차상의 문제점을 발표하는 세션이 있었습니다.

발표자인 Michael Zusman은 StartCom, THWATE, LoginLive.com과 같은 유명한 정식 인증기관에서 가짜 신분을 이용하여 인증서를 발급받는 사례를 시연했습니다. 발표자는 올해 초에 이미 코모도(Comodo) 인증 기간의 EV SSL 인증 처리 방식의 헛점을 이용하여 "mozilla.com" 도메인의 인증서를 획득한 바가 있습니다.

이러한 헛점은 SSL 즉, 인증서 자체의 문제점이 아니라 인증서를 발행하는 인증 기관의 발행 절차에 대한 취약점을 이용한 것입니다.

발표자는 인증 기관의 웹 사이트는 다른 여타 일반 사이트와 마찬가지로 보안상 취약하다고 밝혔습니다. 특히, 최근 웹 공격의 대세를 이루고 있는 XSS(Cross Site Scripting)과 SQL 인젝션 공격 또한 인증 기관의 웹 사이트에서도 가능하다고 하였습니다. 

한편 몇 달전에. SSL은 보안 기술의 취약성이 있는 것으로 알려져서 큰 반향을 일으킨 적이 있습니다. 보안 기술의 취약점SSL은 보안 기술의 취약성이 있는 것이 확인된다면 그 기술은 구현 및 사용 여부를 보다 면밀히 검토해야 하기 때문입니다. 하지만, 국내에서는 이러한 사실에 대해 크게 언급된 바가 없습니다.

특히 국내에서는 SSL보다는 Active-X 컨트롤에 의존하는 경우가 대부분입니다만, 외국의 쇼핑몰과 같은 사이트에서는 SSL에 의존합니다.

만약 SSL이 깨진다면, 아마도 인터넷 상거래의 발목을 잡을 수도 있습니다.

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    요즘 국내외 포탈 및 검색 엔진에서는 인터넷 브라우저에 애드온으로 동작하는 툴바(Toolbar)를 제공하고 있습니다.

    가장 대표적인 툴바를 보면 야후! 툴바, 네이버 툴바, 구글 툴바 등이 있습니다.

    야후!에서는 CA(Computer Associates)사가 개발하는 안티-스파이웨어 제품을 툴바에 번들로 계속 제공하기로 했다는 소식입니다.

    CA는 야후와 손잡고 모든 CA 홈/오피스 보안 제품을 야후 툴바에 제공하기로 하였으며 CA 인터넷 시큐리티 2008까지 지속될 것이라고 합니다.야후 툴바에 제공되는 안티스파이웨어 기능은 스파이웨어, 애드웨어, 키로거, 브라우저 하이재커 등등의 위협으로부터 컴퓨터를 보호합니다.

    사용자 삽입 이미지

    CA/Yahoo! 툴바는 인터넷 익스플로러와 파이어폭스에서 사용할 수 있습니다.

    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      2007년 6월 28일, ISAserver.org 독자가 뽑은 안티 바이러스 추천 상은 시만텍 웹 시큐리티가 선정되었다. 카스퍼스키 안티-바이러스와 GFI 웹모니터 제품이 2, 3위 순을 차지했다.

      선정 결과

      1. Symantec Web Security : 20%

      2. Kaspersky Anti-Virus : 19%

      3. GFI WebMonitor : 14%

      4. avast! ISA Server : 10%

      5. CA Antivirus** : 8%

      6. BitDefender : 7%

      7. Trend Micro's Interscan WebProtect : 5%

      8. Panda ISASecure : 4%

      9. 기타(McAfee SecurityShield, Burstek bt-Enterprise) 등 : 13%

      참고로, CA Antivirus는 eTrust Antivirus의 새로운 제품명입니다.

      위에서 선정한 기준은 ISA 방화벽에서 사용할 수 있는 제품이며, 우리가 통상적으로 사용하는 개인용이나 서버용 백신을 의미하지 않으므로 주의해야 합니다.

      감사합니다.







      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        사용자 삽입 이미지
        CA(Computer Associates)는 2기가 용량의 플래시 메모리 카드에 CA Internet Security Suite 2007CA Desktop DNA Migrator 2007 소프트웨어를 탑재하여 출시합니다.

        2GB 용량의 플래시 메모리는 신용카드 정도의 크기이며, 개인적인 용도 즉, 디지털 음악, 사진 문서 등을 손쉽게 전송할 수 있습니다. 2GB 메모리 카드를 구입하는 경우에는 CA 소프트웨어도 함께 딸려 옵니다.

        메모리 카드에 CA Internet Security Suite 2007만 탑재되거나 또는 CA Internet Security 2007과 CA Desktop DNA Migrator 2007을 함께 탑재한 상태로 구매할 수 있으며, 각각 CA SecureStore Flash Drive라고 부릅니다.

        사용자 삽입 이미지
        이 보안 소프트웨어는 마이크로소프트 윈도우 비스타 운영체제와 호환되어 동작하며, 특히 윈도우 비스타의 레디부스트(ReadyBoost) 기술의 잇점을 살려 윈도 비스타의 부팅 속도와 응용 프로그램을 좀더 빠르게 실행할 수 있습니다.

        이 들 제품에 포함된 CA 소프트웨어를 PC에 설치하고 나면 PC에서 메모리 카드로 파일이나 설정을 빠르면서도 쉽게 이동시킬 수 있으며, 정기적인 백업, 바이러스/웜/트로이 목마로부터 PC를 보호합니다.

        플래시 메모리 카드는 Ultra Products 사에서 제작한 것으로 윈도우 2000, XP, 비스타에서 사용할 수 있습니다. USB 2.0 인터페이스를 사용하지만 USB 1.1도 호환됩니다. 전송 속도는 480Mbps/Sec입니다. 2GB 용량 중에는 CA 소프트웨어가 약 70MB 정도 차지합니다.

        감사합니다.
        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus


          Web Analytics Blogs Directory