'SSL'에 해당되는 글 2건

  1. 2009.08.04 SSL의 수모! (1)
  2. 2007.05.20 베리사인, 파이어폭스 브라우저용 SSL 플러그인 제공
SSL(보안 통신, Secure Socket Layer)은 우리가 사용하는 웹 환경에서 서로 주고 받는 데이터의 안정성 및 보안을 강화하는데 최적의 보안 기술입니다.

하지만, 최근 SSL은 알고리즘 성격의 취약점 뿐만 아니라 발급 기관(Certificate Authority)의 발급 과정의 허술함으로 인해 명성에 먹칠을 하고 있는 형국입니다.

해커들의 국제적인 경연장으로는 블랙햇(BlackHat)과 데프콘(DEFCON)이 유명합니다. 최근 진행된 DEFCON17에서는 SSL 기술을 사용하기 위해 필요한 인증서를 발행하는 인증 기관의 절차상의 문제점을 발표하는 세션이 있었습니다.

발표자인 Michael Zusman은 StartCom, THWATE, LoginLive.com과 같은 유명한 정식 인증기관에서 가짜 신분을 이용하여 인증서를 발급받는 사례를 시연했습니다. 발표자는 올해 초에 이미 코모도(Comodo) 인증 기간의 EV SSL 인증 처리 방식의 헛점을 이용하여 "mozilla.com" 도메인의 인증서를 획득한 바가 있습니다.

이러한 헛점은 SSL 즉, 인증서 자체의 문제점이 아니라 인증서를 발행하는 인증 기관의 발행 절차에 대한 취약점을 이용한 것입니다.

발표자는 인증 기관의 웹 사이트는 다른 여타 일반 사이트와 마찬가지로 보안상 취약하다고 밝혔습니다. 특히, 최근 웹 공격의 대세를 이루고 있는 XSS(Cross Site Scripting)과 SQL 인젝션 공격 또한 인증 기관의 웹 사이트에서도 가능하다고 하였습니다. 

한편 몇 달전에. SSL은 보안 기술의 취약성이 있는 것으로 알려져서 큰 반향을 일으킨 적이 있습니다. 보안 기술의 취약점SSL은 보안 기술의 취약성이 있는 것이 확인된다면 그 기술은 구현 및 사용 여부를 보다 면밀히 검토해야 하기 때문입니다. 하지만, 국내에서는 이러한 사실에 대해 크게 언급된 바가 없습니다.

특히 국내에서는 SSL보다는 Active-X 컨트롤에 의존하는 경우가 대부분입니다만, 외국의 쇼핑몰과 같은 사이트에서는 SSL에 의존합니다.

만약 SSL이 깨진다면, 아마도 인터넷 상거래의 발목을 잡을 수도 있습니다.

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    베리사인(verisign)파이어폭스 브라우저를 사용하는 이용자들이 안전한 웹 사이트 임을 확인하는데 사용되는 기술인 EV SSL을 확인할 수 있는 새로운 플러그인을 제공합니다.

    IE 7에서 화면 하단에는 EV SSL(Extended Validation Secure Sockets Layer)으로 안전한 웹 사이트임을 나타내는 초록색 바가 있습니다. 베리사인은 파이어폭스에서도 이러한 기능을 사용할 수 있는 새로운 플러그인을 제공합니다.

    사용자 삽입 이미지
    EV SSL 인증서는 피싱(phishing)을 차단하는 기술의 핵심적인 부분으로, 웹 사이트를 방문하는 이용자에게 웹 사이트의 추가적인 정보를 제공하고, URL이 "https://"로 시작하는 안전한 사이트를 방문하는지 알 수 있도록 합니다.

    하지만, 다른 인증기관이 인증하는 웹사이트를 베리사인의 플러그인이 식별할 수 없다는 점을 주목해야 합니다.

    출처: www.techshout.com
    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus


      Web Analytics Blogs Directory