누구도 어쩔 수 없는 SSL의 6가지 약점

광범위한 사용도에 비해 보잘 것 없는 보안성

SSL을 계속해서 사용할 당위성 찾기 어려워

[보안뉴스 문가용] 하트블리드가 세상에 등장했을 때 보안 분야에 종사하고 있던 사람들 중 긴장한 사람은 얼마 없다. 많은 사람들이 그저 그러냐며, 크게 개의치 않았다. SSL(Secure Sockets Layer : 보안 소켓 계층)은 늘 그렇게 연약한 존재였으니까 놀랄 것도 없다는 것이었다. 그 말이 맞을지도 모른다. 그런데 그 연약한 존재를 우리는 여전히 사용하고 있다.

SSL은 인터넷 보안에서 가장 중요한 요소이며 온라인에서 신뢰를 구축하게 하는 가장 영향력 있는 매커니즘이다. 이게 있어서 우리는 온라인 쇼핑을 할 수 있고, 온라인 뱅킹을 할 수 있으며 소셜 네트워크를 통해 친구들과 대화를 할 수 있는 것이다. 그럼에도 온라인에서 신뢰도를 구축하는 이 매커니즘 자체가 조금씩 신뢰를 잃어가고 있다. 왜냐하면...

1. 중간에서 방어할 수 있지만 끝에서는 무용지물이다

SSL은 사용자와 웹사이트 사이의 연결을 단단하게 해준다. 사용자가 우회 사이트와 같은 악성 중간자가 아니라 진짜 원하는 사이트와 소통하도록 하는 것이다. 여기까지는 좋다. 그런데 사용자가 최종적으로 접속하는 사이트가 악성 사이트인지 아닌지는 판단해주지 않는다.

이게 왜 문제일까? 해커들이 꼭 중간자로서만 범죄를 일으키는 게 아니기 때문이다. 그들은 당당하게 사업자 등록을 해서 SSL 인증서를 취득한 후 피싱 사이트를 개설한다. 심지어 EV-SSL 인증서를 얻어내기도 한다. 사용자들은 인터넷 주소가 http로 시작하면 공인된 사이트로 자동 인식하는데, 이 점을 노릴 방법은 차고 넘친다.

2. 나쁜 놈들도 사용할 수 있다

SSL은 이제 해커들에게도 인기 높은 수단이 되어가고 있다. 공격행위를 아주 잘 숨겨주기 때문이다. 최근 팔 알토 네트웍스(Palo Alto Networks)가 발표한 보고서에 따르면 심지어 제우스의 한 변종 멀웨어도 SSL을 활용하여 C&C 서버를 숨기는 것으로 드러났다. POSRAM이라는 멀웨어 역시 SSL을 활용해 FTP로부터 몰래 정보들을 탈취한 것으로 밝혀진 바 있다.

3. 애플리케이션에게도 잘못이 있지만...

물론 SSL만 온전히 탓할 수는 없다. 애플리케이션들의 오류나 취약점 역시 이와 관련이 있기 때문이다. 이를 뒷받침하는 대표적인 예가 하트블리드다. 하트블리드의 근원지는 OpenSSL 애플리케이션의 취약점이지 SSL 알고리즘이 아니다. 그런데 누가 그렇게 세세하게 파고드는가? 사람들이 궁금한 건 ‘누구 잘못이냐’가 아니라 ‘SSL이 원래 자신의 역할인 중간자 공격에 대한 방어에 실패했다는 사실’이다.

4. 무시하면 그만이다

브라우저들은 사용자가 수상한 사이트에 접속하려고 하면 ‘수상한 사이트에 접속하려고 한다’거나 ‘신뢰할 수 없는 사이트’라는 경고 메시지를 날린다. 글자가 가지고 있는 모든 힘을 발휘해 위험하다는 목소리를 발하는 것이다. 현명한 사용자라면 당연히 뒤로가기를 누른다. 하지만 사실 사용자 대부분은 경고 메시지를 읽지도 않고 ‘알고 있음’이라거나 ‘상관없으니 계속 진행’하라는 버튼을 클릭한다. 그저 클릭 한 번이면 보안 시스템을 아무렇지 않게 지나칠 수 있는 것이다. 보안성이 아무리 좋다한들 이렇게 간단한 조작만으로 존재하지 않는 것처럼 되어버린다면 그 자체로 이미 문제다.

5. 약한 알고리즘을 여전히 사용하고 있다

SHA-1. 깨지지 않는 견고한 성 같은 존재였다. 모두가 그 안정성을 찬사했고 그 단단함에 경이를 표했다. 하지만 7년 전에 산산이 조각났다. 이제 아무도 SHA-1을 단단함과 연결시키지 않는다. SSL만 빼고 말이다. 한 조사에 따르면 인터넷에서 사용되는 SSL 인증서의 98%가 SHA-1 시그니처를 사용하고 있다고 한다. 무슨 설명이 더 필요하랴.

6. 이미 여러 차례 깨져 봤다

SSLStrip을 기억하는가? THC-SSL-DOS는? 500개가 넘는 가짜 SSL 인증서가 탄생했던 디지노타(DigiNotar) 유출사건은? 전부 SSL이 공략 당한 사건이고, 이 세 건 외에 목록을 작성하자면 몇 페이지를 채우고도 모자를 것이다. 이게 과거만의 일일까? 미래의 일이 될 가능성은 충분하다.

SSL에 대한 기대를 아예 하지 않는다면, 그리고 SSL의 사용도를 좀 낮춘다면 이런 약점들 세세하게 적는다 한들 뭐가 문제겠는가. 그렇게 따지면 이는 SSL의 문제가 아닌 것도 같다. 알고도 계속 손을 놓지 못하는 우리가 문제다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  북 해커 조직 APT43, 드롭박스 악용한 ...

• 2

  제로트러스트 도입·확산 시범사업, 어떻게 진...

• 3

  ‘2024년도 ICT 중소기업 정보보호 지원...

• 4

  웹3 게임 개발자들, 암호화폐 노리는 피싱 ...

• 5

  이반티 보안 취약점 악용한 5개 공격그룹 ...

• 1

  [퀴즈 이·보·소] 거듭되는 취약점에 대표가...

• 2

  메모리 안전 언어로 떠오르는 러스트의 라이브...

• 3

  주식투자 정보사이트 ‘아이투자’, 해킹으로 ...

• 4

  웰시투자그룹, 자사 사칭 금전 사기 피해 주...

• 5

  [보안 상장기업 주간 주가동향] 시장 기대치...

• 1

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 2

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 3

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 4

  2023년 가장 주목받은 사이버 위협 커뮤니...

• 5

  NSA의 제로트러스트 가이드라인, CISO는...