Offcanvas

보안

글로벌 칼럼 | SSL이 뚫렸다, 조심하라

2011.10.10 Roger A. Grimes  |  ITWorld
타이 동과 줄리아노 리조가 SSL/TLS에 감행한 BEAST 공격에 대해 소문이 퍼지기 시작한 이후로 사람들은 이것이 얼마나 심각한 위협을 초래할지 불안해하고 있다. 
 
소잃고 외양간 고치기 식 대책은 위험
분명히 말하지만 이 위협은 심각하다. 물론 장래의 공격자들이 다수의 전제 조건들을 만족시키는 확실한 목표물을 찾아내려면 각고의 노력을 기울여야 하기 때문에, 당장은 그런 일이 일어나지 않을 것이다. 하지만 불행히도 공격을 감행할 툴들은 확실히 진화하고 있다. 이에 반해 오늘날 많은 IT 조직들은 아직도 그들 스스로를 보호하기 위한 간단하고 필수적인 단계조차 갖추지 못했다. 
 
어떻게든 공격이 성공할 수 있다는 사실만으로도 충분히 큰 의미가 있다. SSL/TLS는 VPN 기술 가운데 하나다. VPN는 보안되지 않는 네트워크 매체를 통해 정보가 전송되고 하물며 악의적인 의도로 보호된 트래픽을 가로챌 수 있는 상황에서도 끝까지 정보를 안전하게 보호해야 한다. 그러나 BEAST 공격은 SSL/TLS의 VPN 보호를 어느 정도 뚫는데 성공했다. 
 
이러한 맥락에서 이 공격은 상당히 중요하다. 적절한 요건들만 만족하면 사이버 범죄자는 보호된 HTTPS 쿠키를 훔칠 수 있고, 그렇게 되면 본질적으로는 활성화된 HTTPS 세션을 가로챌 수 있다. 이는 틀림없다. BEAST 공격은 주장한 바대로 이루어졌다. 
그러나 다음의 두 가지 중요한 사실은 위협의 심각성을 조금 덜어준다. 앞서 언급한 전제 조건들과 많은 시나리오들에 대해 이미 여러 가지 대책이 마련되어 있다는 점이다. 
 
BEAST 공격은 SSL 3.1/TLS 1/1 VPN 프로토콜의 pre 버전을 상대로 성공을 거둘 수 있었지만, 많은 브라우저들은 사용자들이 이미 post 버전을 선택할 수 있도록 하고 있다. 일부 브라우저 제공업체들은 이전 프로토콜에서 발견된 보안 구멍들을 수정하지 않고 개별 수정 버전을 구현하고 있으며, 이런 수정 사항들은 BEAST의 공격 수단들을 무력화시킨다.
 
예를 들어 마이크로소프트는 최신 SSL/TLS 프로토콜을 지원하는 IE 버전(예를 들어 Windows XP에서 구동되는 IE)까지도 유효한 익스플로러용 '암호 체계 해결책[5]'을 발표했다. 현재까지는 BEAST 공격이 전세계적으로 확산되지 않고 있기 때문에 많은 업체들과 웹사이트들은 경고를 무시하거나 혹은 늑장 대응을 할 작정이다. 이는 분명히 잘못된 태도다. 문제를 고치기 전에 더 큰 피해가 나와서는 안 된다. 하지만 불행하게도 우리 사회는 항상 이런 방식으로 문제를 해결해 왔으며, 특히 온라인 위협들에 직면할 때면 더욱 그래왔다.
 
BEAST 공격, 웹사이트 광고 통해서도 가능
지금 당장에는 공격자가 주어진 타깃을 상대로 성공적인 BEAST 공격을 펼치기 전에 필요한 몇 가지 중요한 전제 조건들이 우리를 보호하는 최선이다. 우선 공격자는 피해자의 클라이언트 컴퓨터와 피해자가 보고자 한 HTTPS 웹 사이트 사이에 중간자 연결(man-in-the middle)을 필요로 한다. 
 
이런 사전 조건은 그리 어렵지 않게 충족시킬 수 있다. 필자가 가장 좋아하는 보안툴 프로그램인 카인과 아벨(Cain&Abel)을 비롯, 몇몇 툴들을 이용하면 단지 버튼 클릭만으로도 아주 쉽게 중간자 공격을 할 수 있다.
 
두 가지 추가적인 조건들이 이런 특정 공격의 성공을 급격하게 저해한다. 먼저 공격자는 특별한 자바스크립트 코딩을 실행시키기 위해 타깃 사용자의 브라우저를 점령해야 하고, 이 코딩은 타깃으로 삼은 HTTPS 사이트와 동일한 근원에서 나온 것이어야 한다. 다행히 오늘날의 브라우저들은 대부분 한 곳에서 유래한 자바 스크립트가 다른 HTTP/HTTPS 스트림에 영향을 미치지 못하도록 제한하고 있다. 
 
하지만 이런 조건들도 충족시키기 불가능한 것은 아니다. 공격자들은 일상적으로 사용자들이 전적으로 신뢰하는 웹사이트에서 자바스크립트 악성 코드를 실행시킨다. 공격자들은 웹사이트의 약점을 공략할 수도 있으며 오늘날 더 흔한 형태는 문제의 자바스크립트 코드를 실행시키는 악의적인 광고를 웹사이트에 게시하는 것이다.
 
어려운 점은 이것들을 모두 조정하는 일이다. 공격자는 피해자가 어떤 HTTPS 웹사이트들을 방문할 것인지 알아내고 악의적인 자바스크립트 코드를 사전에 넣어둬야 한다. 게다가 공격자는 중간자 연결을 확실히 만들어놔야 한다. 이 모든 일련의 전제 조건들을 만들어내고 조정하기는 상당히 부담되는 일이다. 
 
그러고 나면 공격자는 BEAST가 HTTPS를 상대로 크립토 공격(crypto-attack)을 벌이는 동안 사용자가 타깃 세션을 활성화 상태로 유지하고 있어야 한다. 그 시간은 그리 오래 걸리지는 않는다. 그럼에도 만약 사용자가 공격을 받은 HTTPS 웹 사이트에서 로그아웃하거나 브라우저를 완전히 종료하면, 또는 더 흔하게는 그냥 HTTPS 웹사이트를 닫는다면 공격자는 암호화된 쿠키를 해독할 수는 있을지 몰라도 쿠키가 형편없이 구현된 게 아니라면 장래에 새로운 연결에는 별 쓸모가 없을 것이다.
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.