'Secure SOcket Layer'에 해당되는 글 1건

  1. 2009.08.04 SSL의 수모! (1)
SSL(보안 통신, Secure Socket Layer)은 우리가 사용하는 웹 환경에서 서로 주고 받는 데이터의 안정성 및 보안을 강화하는데 최적의 보안 기술입니다.

하지만, 최근 SSL은 알고리즘 성격의 취약점 뿐만 아니라 발급 기관(Certificate Authority)의 발급 과정의 허술함으로 인해 명성에 먹칠을 하고 있는 형국입니다.

해커들의 국제적인 경연장으로는 블랙햇(BlackHat)과 데프콘(DEFCON)이 유명합니다. 최근 진행된 DEFCON17에서는 SSL 기술을 사용하기 위해 필요한 인증서를 발행하는 인증 기관의 절차상의 문제점을 발표하는 세션이 있었습니다.

발표자인 Michael Zusman은 StartCom, THWATE, LoginLive.com과 같은 유명한 정식 인증기관에서 가짜 신분을 이용하여 인증서를 발급받는 사례를 시연했습니다. 발표자는 올해 초에 이미 코모도(Comodo) 인증 기간의 EV SSL 인증 처리 방식의 헛점을 이용하여 "mozilla.com" 도메인의 인증서를 획득한 바가 있습니다.

이러한 헛점은 SSL 즉, 인증서 자체의 문제점이 아니라 인증서를 발행하는 인증 기관의 발행 절차에 대한 취약점을 이용한 것입니다.

발표자는 인증 기관의 웹 사이트는 다른 여타 일반 사이트와 마찬가지로 보안상 취약하다고 밝혔습니다. 특히, 최근 웹 공격의 대세를 이루고 있는 XSS(Cross Site Scripting)과 SQL 인젝션 공격 또한 인증 기관의 웹 사이트에서도 가능하다고 하였습니다. 

한편 몇 달전에. SSL은 보안 기술의 취약성이 있는 것으로 알려져서 큰 반향을 일으킨 적이 있습니다. 보안 기술의 취약점SSL은 보안 기술의 취약성이 있는 것이 확인된다면 그 기술은 구현 및 사용 여부를 보다 면밀히 검토해야 하기 때문입니다. 하지만, 국내에서는 이러한 사실에 대해 크게 언급된 바가 없습니다.

특히 국내에서는 SSL보다는 Active-X 컨트롤에 의존하는 경우가 대부분입니다만, 외국의 쇼핑몰과 같은 사이트에서는 SSL에 의존합니다.

만약 SSL이 깨진다면, 아마도 인터넷 상거래의 발목을 잡을 수도 있습니다.

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus


    Web Analytics Blogs Directory