온라인 쇼핑몰·포털사 등 전송채널 암호화 시급!

ID·PW는 암호화 잘 되어 있지만 데이터 송수신 구간 보안에 취약

SSL/TLS 적용과 함께 서버 인증서 1024-bit 이상 서명키 가져야

[보안뉴스 김태형] 국내 온라인 쇼핑몰·포털사 등의 중요정보 전송 채널의 암호화가 ID·PW에 비해 상대적으로 취약하다는 문제가 제기됐다.

최근 한국인터넷진흥원(KISA)과 박원형 극동대학교 교수는 서울과학기술대 융합보안연구팀(지도교수 국광호)과 함께 국내 여러 사이트들의 데이터 송수신 구간의 암호화 여부를 분석, 암호화 취약점에 대한 문제점을 지적했다.

본지에서는 지난 4월 18일자에 ‘구멍 뚫린 쇼핑몰 신용카드 결제 시스템!’이라는 제하의 기사에서 인터넷 쇼핑몰의 결제시스템의 허점을 이용해 제품가격을 조작하여 고가의 제품을 헐값으로 사는 방법이 있다고 보도한 바 있다.

이 기사의 주요 내용은 인터넷 쇼핑몰 결제 시스템의 문제점으로 주문 페이지의 경우 암호화가 되어 있지 않아 전문 해커가 아니더라도 쉽게 주문결제 정보를 조작할 수 있다는 것.

이에 본 연구를 주도한 한국인터넷진흥원(KISA)과 박원형 교수는 인터넷 쇼핑몰뿐만 아니라 주요 포털을 비롯해 메신저, SNS 등 우리가 가장 빈번히 사용하고 있는 주요 인터넷 사이트를 선정해 연구·조사를 진행했다.

점검대상으로 우리나라 주요 포털, 메일, 메신저, SNS, 인터넷폰(VoIP), 게임포털, 쇼핑몰, 클라우드 서비스 분야의 사용자 방문이 많은 사이트를 선정했으며, 유·무선 구간에 대한 ID/PW와 데이터 통신 암호화 여부에 대한 조사를 진행한 것으로 알려졌다.

박 교수는 “이번 조사결과 유·무선 구간에서 ID/PW 부분에서는 암호화가 대부분 잘 되어 있어 스니핑으로 인한 ID/PW 노출시에도 안전한 결과를 얻었다”면서 “하지만 ID/PW 이후 데이터 송수신 구간에서 일부 포털과 쇼핑몰을 제외한 많은 사이트는 암호화가 설정되어 있지 않아 보안에 취약하다는 것을 밝혔다”고 말했다.

특히, 주요 메일 서비스, 메신저, 인터넷폰, 클라우드 서비스 등 전 영역에 걸쳐 암호화가 이뤄지지 않았다는 것.

또한, 그는 “조사한 결과 암호화 방식이 대부분 동일한 기술을 사용하고 있어 미국 국립표준기술연구소(NIST)에서 권고한 암호화 방식보다는 보안강도가 낮은 암호화 방식을 사용하고 있었다”고 말했다.

박 교수는 “이번 연구를 위해 조사한 어느 포털사의 경우 주소록 서비스를 이용하는 사용자들이 로그인할 때는 ID 및 PW가 암호화되어 노출되지 않지만 저장된 주소록을 조회하거나 신규 연락처 추가 및 열람에 대한 암호화는 적용되어 있지 않아 쉽게 노출됐다”고 덧붙였다.

이에 대해 박 교수는 “이러한 취약점을 개선하기 위해서는 한국인터넷진흥원(KISA)의 권고사항인 ‘SSL(Secure Socket Layer : 보안 소켓 계층)/TLS(Transport Layer Security : 전송 계층 보안)’를 적용하거나 관련 솔루션을 도입할 때 제품이 표준에 맞게 구현됐는지 상호 호환성을 보장하는지, 검증된 제품인지, 오픈 소스를 이용하는지 등을 확인해야 한다”면서 “RSA 서명키를 가지는 모든 서버 인증서는 가능하면 1024-bit 이상의 키를 가질 것을 권고한다”고 말했다.

이와 더불어 “스마트폰 앱 개발시 암호 알고리즘을 적용할 수 있는 라이브러리를 KISA에서 배포하고 있으므로 이러한 스마트폰용 암호 라이브러리를 적용해야 한다”고 강조했다.

특히, 그는 “이번 암호화 점검을 계기로 상대적으로 취약한 해당 업체는 인터넷과 서비스의 속도나 환경에 따라 취약한 구간에 대한 암호화 적용을 반드시 고려해야 할 것”이라며, “해당 암호화 방식이 향후 문제가 발생할 경우를 대비해서라도 KISA와 미국 국립표준기술연구소(NIST)에서 권고한 방식으로 변경해야 보다 안전한 인터넷 서비스가 가능할 것”이라고 강조했다.

[김태형 기자(boan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)