세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
HTTPS 검사 툴, TLS를 약화시킨다는 경고 나와
  |  입력 : 2017-03-17 15:37
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
US-CERT의 권고 사항, “HTTPS 검사 툴 조심히 사용”
BadSSL.com에서 검사 가능... 확인 반드시 해볼 것


[보안뉴스 문가용 기자] HTTPS 검사 툴이란 결국 보안 팀이 사용하는 ‘허가된 중간자 공격 툴’이다. 암호화된 SSL/TLS 트래픽을 가로채 HTTPS를 악성 서버에 연결시키는 데에 활용되는 멀웨어의 존재 여부를 판별하기 때문이다. 최근 미국 인터넷침해사고대응지원센터(US CERT)는 이러한 검사를 진행하는 데에 ‘조심할 것’이라는 권장사항을 발표했다.


웹 브라우저는 보통 ‘약한 암호(cipher)’, ‘잘못된 프로토콜 버전’, ‘인증서와 관련된 신용문제’가 발생했을 때, ‘위험하다고 의심되는 연결’에 대하여 사용자들에게 알려준다. 그러나 HTTPS를 가로채는 툴을 도입하면, 이런 모든 내용에 대해 무조건적인 신뢰를 해야만 한다. 즉 평소라면 ‘위험하다’는 표시가 나올법한 상황에서 경고를 받을 수 없다는 것이다.

US-CERT의 권고문의 일부를 발췌하면 다음과 같다. “HTTPS를 검사해주는 제품들은 프로토콜, 암호(cipher), 인증서 체인을 관리합니다. 그렇게 하기 위해서는 필요한 HTTPS 인증 절차를 거쳐야 합니다. 그런데 올바른 인증 절차를 거치지 않거나 실패했을 때, 혹은 인증 상태가 적절히 반영되지 않았을 때, 악의를 가진 제3자로부터 중간자 공격을 받을 가능성이 높아집니다.”

보안 전문가들이 HTTPS 검사 툴들을 분석해본 결과, 이 인증 절차가 제대로 진행되지 않는다는 약점을 발견했다. 그러므로 US-CERT의 권고문에서 나타나는 ‘우려 사항’들이 실제적인 문제로 발현될 가능성이 높다는 것이다. HTTPS 검사 제품에 따라 나타나는 현상이 다 다르긴 하지만, 업스트림 인증서의 인증 과정이 불완전한 것도 있고, 인증 과정은 올바르나 최종 인증 상태를 올바르게 반영하지 않는 제품들도 있다고 한다. 사용자에게 경고가 나가기도 전에 이미 요청된 서버와의 통신을 완료시키는 제품도 있다.

HTTPS를 가로채는 기능은 의외로 많은 보안 제품들에 삽입되어 있다. 방화벽에도 있고, 보안 웹 게이트웨이에도 있고 데이터 손실 방지 제품들에도 있다. 그밖에도 각종 애플리케이션들에도 이러한 기능을 찾아볼 수 있는데, 상세 목록은 여기서 열람이 가능하다.

US-CERT는 BadSSL.com이란 웹사이트에서 HTTPS 가로채기 기능을 가진 애플리케이션이 제대로 작동하는지 확인할 것을 권장하고 있다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#중간자   #공격   #HTTPS   


2017년 상반기, 가장 충격적인 보안 사건·사고는 무엇이었나요?
사드 배치 보복 차원 중국 해커들의 사이버공격
국내 웹사이트 타깃 동남아 해커들의 무차별 디페이스 공격
전 세계를 휩쓴 워너크라이 랜섬웨어 사태
웹호스팅 업체 인터넷나야나 타깃으로 한 랜섬웨어 공격
페트야 랜섬웨어 사태(랜섬웨어 공격으로 위장한 러시아의 사이버전)
대선 전후 정보탈취 위한 북한의 사이버전
비트코인 등 가상화폐 열풍과 가상화폐 거래소 계정 해킹 사건
금융권 타깃으로 한 디도스 공격 협박 사건
기타(댓글로)