Offcanvas

TLS

'국가 검열에 저항하는 해킹 방법' 데프콘에서의 TLS 공격 시연 '눈길'

중국 정부가 검열 도구인 만리방화벽(Great Firewall of China)를 업데이트해 최신 전송 계층 보안(Transport Layer Security, TLS) 버전으로 HTTPS 트래픽을 차단하고 나서면서 정보보안 업계의 관심은 온통 TLS 프로토콜에 쏠렸다. 게다가 '데프콘: 세이프 모드(DEF CON: Safe Mode)'에서 보안 연구진이 TLS를 사용하는 검열을 우회하는 방법을 제안하고 잠재적인 TLS 기반 공격을 시연하면서 관심도는 더욱 높아졌다.   TLS는 주로 웹 애플리케이션과 서버 간의 통신을 암호화하는 방법으로 인터넷 통신에서 개인정보보호와 데이터 보안을 실현하기 위해 광범위하게 사용되는 프로토콜이다. 최신 버전인 TLS 1.3은 2018년에 출시됐다. TLS는 더 보편적으로 알려진 HTTPS 기술의 기반이며, 초대하지 않은 서드파티로부터 통신을 숨기지만 통신을 하는 사용자의 ID 숨김은 보장하지 않는다. TLS 1.3에는 암호화된 서버 이름 표시(Encrypted Server Name Indication, ESNI)라는 기능이 도입됐다. ESNI가 적용되면 HTTPS 통신을 국가 주도의 검열을 하기가 어렵다. 8월 초, 아이유포트(iYouPort)와 매릴랜드 대학, 만리방화벽 리포트(Great Firewall Report), 3개 단체는 ESNI 확장을 사용한 TLS 연결을 차단하는 중국의 조치에 대한 공동 보고서를 발행했다.   이 단체들은 간단한 파이썬 프로그램을 사용해 만리방화벽이 클라이언트에서 서버로의 ESNI 연결을 차단하고 관련된 IP 주소를 일시적으로 금지한다는 사실을 발견했다. 3개 단체는 앱이나 소프트웨어 또는 서버에서 사용해 중국의 검열 차단을 무력화할 수 있는 여러 우회 기법을 발견했지만 그 효력은 일시적일 것으로 예상했다.   도메인 숨기기로 중국 검열 우회 사이버보안 솔루션 업체 식스젠(SixGen)의 CTO이자 대항 에뮬레이션 책임자인 에릭 헌스태드는 “도메인 프론팅은 ...

중국 TLS TLS 1.3 만리방화벽 https Domain Fronting Domain Hiding

2020.08.26

중국 정부가 검열 도구인 만리방화벽(Great Firewall of China)를 업데이트해 최신 전송 계층 보안(Transport Layer Security, TLS) 버전으로 HTTPS 트래픽을 차단하고 나서면서 정보보안 업계의 관심은 온통 TLS 프로토콜에 쏠렸다. 게다가 '데프콘: 세이프 모드(DEF CON: Safe Mode)'에서 보안 연구진이 TLS를 사용하는 검열을 우회하는 방법을 제안하고 잠재적인 TLS 기반 공격을 시연하면서 관심도는 더욱 높아졌다.   TLS는 주로 웹 애플리케이션과 서버 간의 통신을 암호화하는 방법으로 인터넷 통신에서 개인정보보호와 데이터 보안을 실현하기 위해 광범위하게 사용되는 프로토콜이다. 최신 버전인 TLS 1.3은 2018년에 출시됐다. TLS는 더 보편적으로 알려진 HTTPS 기술의 기반이며, 초대하지 않은 서드파티로부터 통신을 숨기지만 통신을 하는 사용자의 ID 숨김은 보장하지 않는다. TLS 1.3에는 암호화된 서버 이름 표시(Encrypted Server Name Indication, ESNI)라는 기능이 도입됐다. ESNI가 적용되면 HTTPS 통신을 국가 주도의 검열을 하기가 어렵다. 8월 초, 아이유포트(iYouPort)와 매릴랜드 대학, 만리방화벽 리포트(Great Firewall Report), 3개 단체는 ESNI 확장을 사용한 TLS 연결을 차단하는 중국의 조치에 대한 공동 보고서를 발행했다.   이 단체들은 간단한 파이썬 프로그램을 사용해 만리방화벽이 클라이언트에서 서버로의 ESNI 연결을 차단하고 관련된 IP 주소를 일시적으로 금지한다는 사실을 발견했다. 3개 단체는 앱이나 소프트웨어 또는 서버에서 사용해 중국의 검열 차단을 무력화할 수 있는 여러 우회 기법을 발견했지만 그 효력은 일시적일 것으로 예상했다.   도메인 숨기기로 중국 검열 우회 사이버보안 솔루션 업체 식스젠(SixGen)의 CTO이자 대항 에뮬레이션 책임자인 에릭 헌스태드는 “도메인 프론팅은 ...

2020.08.26

낡은 SSL의 한계를 넘어··· 웹 통신 보안의 시작 'TLS'

TLS(Transport Layer Security)는 웹 통신을 보호한다는 애초 목표와 달리 설계와 구현의 결함이 발견됐고 결국 데이터 유출로 이어졌다. 이런 가운데 나온 최신 버전 TLS 1.3은 암호화 프로토콜을 강화하고 능률화하는 데 초점을 맞췄다. TLS란 무엇인가 TLS는 네트워크를 통해 엔드-투-엔드 통신 보안을 제공하는 암호화 프로토콜이다. 인터넷 통신과 온라인 트랜잭션에 널리 사용된다. TLS는 도청, 변조 및 메시지 위조를 방지하기 위한 IETF 표준이다. 웹 브라우저, 인스턴트 메시징, 이메일, IP상의 음성 등 여러 애플리케이션이 TLS를 사용한다. 많은 기업이 중요 데이터가 전송되는지 여부와 관계없이 웹 서버와 브라우저 간의 모든 통신을 보호하기 위해 TLS를 사용한다. TLS의 이전 버전인 SSL(Secure Socket Layer)은 넷스케이프(Netscape)에서 1995년에 개발했다. SSL 버전 1.0, 2.0에는 프로토콜의 완전한 재설계 없이는 수정할 수 없는 여러 가지 보안 결함이 있었다. 1996년에 넷스케이프는 TLS1.0의 기초가 된 SSL 버전 3.0을 출시했다. 1999년에 PCI위원회는 SSL이 궁극적으로 TLS 1.0으로 대체 된 것이 SSL 3.0으로의 업그레이드라고 말하기도 했다. TLS vs. SSL TLS는 메시지 인증, 키 값 생성 및 기타 암호화 알고리즘을 강화해 SSL보다 효율적이고 안전해졌다. 예컨대, SSL과 달리 TLS는 사전 공유 키, 보안 원격 암호, 타원 곡선 키 및 커베로스(Kerberos)를 지원한다. SSL과 TLS는 서로 호환되지 않지만, TLS는 여전히 SSL을 사용하는 오래된 기기를 위해 하위 호환성을 제공한다. TLS 프로토콜 사양은 2개의 레이어를 정의한다. TLS 레코드 프로토콜은 연결 보안을 제공하며, TLS 핸드셰이크 프로토콜을 사용하면 데이터가 전송되기 전에 클라이언트와 서버가 서로를 인증하고 보안 키를 조율한다. TLS 핸드셰이...

보안 SSL TLS

2018.11.13

TLS(Transport Layer Security)는 웹 통신을 보호한다는 애초 목표와 달리 설계와 구현의 결함이 발견됐고 결국 데이터 유출로 이어졌다. 이런 가운데 나온 최신 버전 TLS 1.3은 암호화 프로토콜을 강화하고 능률화하는 데 초점을 맞췄다. TLS란 무엇인가 TLS는 네트워크를 통해 엔드-투-엔드 통신 보안을 제공하는 암호화 프로토콜이다. 인터넷 통신과 온라인 트랜잭션에 널리 사용된다. TLS는 도청, 변조 및 메시지 위조를 방지하기 위한 IETF 표준이다. 웹 브라우저, 인스턴트 메시징, 이메일, IP상의 음성 등 여러 애플리케이션이 TLS를 사용한다. 많은 기업이 중요 데이터가 전송되는지 여부와 관계없이 웹 서버와 브라우저 간의 모든 통신을 보호하기 위해 TLS를 사용한다. TLS의 이전 버전인 SSL(Secure Socket Layer)은 넷스케이프(Netscape)에서 1995년에 개발했다. SSL 버전 1.0, 2.0에는 프로토콜의 완전한 재설계 없이는 수정할 수 없는 여러 가지 보안 결함이 있었다. 1996년에 넷스케이프는 TLS1.0의 기초가 된 SSL 버전 3.0을 출시했다. 1999년에 PCI위원회는 SSL이 궁극적으로 TLS 1.0으로 대체 된 것이 SSL 3.0으로의 업그레이드라고 말하기도 했다. TLS vs. SSL TLS는 메시지 인증, 키 값 생성 및 기타 암호화 알고리즘을 강화해 SSL보다 효율적이고 안전해졌다. 예컨대, SSL과 달리 TLS는 사전 공유 키, 보안 원격 암호, 타원 곡선 키 및 커베로스(Kerberos)를 지원한다. SSL과 TLS는 서로 호환되지 않지만, TLS는 여전히 SSL을 사용하는 오래된 기기를 위해 하위 호환성을 제공한다. TLS 프로토콜 사양은 2개의 레이어를 정의한다. TLS 레코드 프로토콜은 연결 보안을 제공하며, TLS 핸드셰이크 프로토콜을 사용하면 데이터가 전송되기 전에 클라이언트와 서버가 서로를 인증하고 보안 키를 조율한다. TLS 핸드셰이...

2018.11.13

'웹 보안의 시작' TLS의 정의와 1.3 업그레이드가 시급한 이유

SSL 프로토콜과 그 후손 격인 TLS는 웹의 초기 시절부터 현재까지 인터넷 상거래를 가능케 하는 암호화와 보안 기능을 제공해 왔다. 지난 수십 년간 점점 더 교묘해지는 공격을 방어하기 위해 이들 프로토콜 역시 계속해서 업데이트됐다. TLS의 차기 버전인 TLS 1.3이 곧 확정된다. 웹사이트 운영자라면 누구나 업그레이드 해야 한다. 사이버 범죄자가 기존 보안 기술을 따라잡고 있기 때문이다. SSL이란 SSL은 보안 소켓 계층(Secure Sockets Layer)의 약자다. 1990년대 중반 당시 가장 널리 사용되던 웹 브라우저를 만든 넷스케이프(Netscape)에서 개발한 프로토콜의 원래 이름이었다. SSL 1.0은 일반에 공개된 적이 없고 SSL 2.0에는 심각한 결함이 있었다. 1996년에 공개된 SSL 3.0은 전면적으로 수정돼 다음 버전이 나올 수 있는 기반을 마련했다. TLS란 1999년 공개된 차기 버전 프로토콜은 국제 인터넷 표준화 기구(IETF)에 의해 표준화되고 전송 계층 보안(Transport Layer Security)의 약자인 TLS라는 새로운 이름을 얻었다. TLS 사양서에 명시된 것처럼 TLS와 SSL 3.0 사이의 차이점은 그다지 크지 않다. 따라서 TLS와 SSL은 별개의 비교 대상으로 취급되지 않는다. 지속적으로 업데이트 되는 일련의 프로토콜을 형성해 'SSL/TLS'로 뭉뚱그리는 경우가 많다. TLS 프로토콜은 모든 종류의 인터넷 트래픽을 암호화한다. 예를 들어 웹 트래픽이라면, 브라우저 상의 주소 URL이 “https”로 시작하면 TLS를 통해 연결된 것이다. 또한 자물쇠 표시는 연결이 안전함을 나타낸다. TLS는 인터넷 이외에 이메일, 유즈넷(Usenet) 등에서도 사용할 수 있다. TLS의 작동 방식 인터넷을 통해 안전하게 통신하려면 암호화가 필요하다. 만일 데이터가 암호화되지 않으면 누구나 패킷을 들여다 보고 기밀 정보를 읽을 수 있다. 가장 ...

암호화 SSL TLS

2018.01.12

SSL 프로토콜과 그 후손 격인 TLS는 웹의 초기 시절부터 현재까지 인터넷 상거래를 가능케 하는 암호화와 보안 기능을 제공해 왔다. 지난 수십 년간 점점 더 교묘해지는 공격을 방어하기 위해 이들 프로토콜 역시 계속해서 업데이트됐다. TLS의 차기 버전인 TLS 1.3이 곧 확정된다. 웹사이트 운영자라면 누구나 업그레이드 해야 한다. 사이버 범죄자가 기존 보안 기술을 따라잡고 있기 때문이다. SSL이란 SSL은 보안 소켓 계층(Secure Sockets Layer)의 약자다. 1990년대 중반 당시 가장 널리 사용되던 웹 브라우저를 만든 넷스케이프(Netscape)에서 개발한 프로토콜의 원래 이름이었다. SSL 1.0은 일반에 공개된 적이 없고 SSL 2.0에는 심각한 결함이 있었다. 1996년에 공개된 SSL 3.0은 전면적으로 수정돼 다음 버전이 나올 수 있는 기반을 마련했다. TLS란 1999년 공개된 차기 버전 프로토콜은 국제 인터넷 표준화 기구(IETF)에 의해 표준화되고 전송 계층 보안(Transport Layer Security)의 약자인 TLS라는 새로운 이름을 얻었다. TLS 사양서에 명시된 것처럼 TLS와 SSL 3.0 사이의 차이점은 그다지 크지 않다. 따라서 TLS와 SSL은 별개의 비교 대상으로 취급되지 않는다. 지속적으로 업데이트 되는 일련의 프로토콜을 형성해 'SSL/TLS'로 뭉뚱그리는 경우가 많다. TLS 프로토콜은 모든 종류의 인터넷 트래픽을 암호화한다. 예를 들어 웹 트래픽이라면, 브라우저 상의 주소 URL이 “https”로 시작하면 TLS를 통해 연결된 것이다. 또한 자물쇠 표시는 연결이 안전함을 나타낸다. TLS는 인터넷 이외에 이메일, 유즈넷(Usenet) 등에서도 사용할 수 있다. TLS의 작동 방식 인터넷을 통해 안전하게 통신하려면 암호화가 필요하다. 만일 데이터가 암호화되지 않으면 누구나 패킷을 들여다 보고 기밀 정보를 읽을 수 있다. 가장 ...

2018.01.12

SSL/TLS 공격이 증가하는 이유

기업들이 잠재적인 공격이나 노출로부터 데이터를 보호하기 위해 점점 더 능숙하게 네트워크 트래픽을 암호화함에 따라 온라인 공격자들 역시 자신들의 악의적인 활동을 감추기 위한 보안 소켓 계층/전송 계층 보안(SSL/TLS) 계략을 강화하고 있다. 보안업체 지스케일러(Zscaler)의 연구자들에 따르면, 2017년 상반기 이 회사에서 관찰한 트랜잭션 중 평균 60%가 SSL/TLS를 통해 이루어졌다. SSL/TLS 사용 증가에는 정당한 활동은 물론 악성 활동도 한몫하고 있다. 범죄자들이 악성 콘텐츠 배포를 위해 유효한 SSL 인증서에 의존하고 있기 때문이다. SSL이 감염 고리의 일부로 포함된 웹 악용은 하루 평균 300회에 달한 것으로 나타났다. 지스케일러의 보안 연구 수석 책임자 디픈 데사이는 “크라임웨어(crimeware)군이 SSL/TLS를 이용하는 빈도가 점점 높아지고 있다”고 지적했다. 지스케일러 측에 따르면, SSL/TLS에서 전송되는 악성 콘텐츠가 지난 6개월간 2배 이상 늘어났다고 한다. 지스케일러가 자사 클라우드 플랫폼 이용 고객을 위해 2017년 전반기 동안 차단한 SSL/TLS 기반 악성 활동은 하루 평균 840만 건에 달했다. 그중 60만 건은 진보된 형태의 위협이었다. 지스케일러 연구원이 확인한 바에 따르면, 2017년 전반기 동안SSL/TLS를 통한 피싱 시도는 하루 1만 2,000건에 달했다. 2016년에 비해 400%나 늘어난 수치다. 이는 빙산의 일각에 불과하다. 지스케일러의 이번 조사에서 SSL/TLS를 이용해 페이로드(payload)를 전송하는 애드웨어(adware) 캠페인과 같은 다른 공격은 제외됐기 때문이다. 기업 네트워크 트래픽의 대부분이 암호화되면 범죄자도 자신의 활동을 암호화하는 것이 합리적이다. 그러면 IT 관리자들이 악성과 양성 트래픽을 구분하기가 더 어렵기 때문이다. 악성코드군 역시 SSL의 사용 빈도가 높아지고 있다. 침해된 엔드포인트와 지휘통제 시스템 간의 ...

CSO 보안 소켓 계층 지스케일러 아버 네트웍스 링크드인 TLS SSL 사이버공격 어도비 체크포인트 CISO 암호화 피싱 마이크로소프트 전송 계층 보안

2017.08.03

기업들이 잠재적인 공격이나 노출로부터 데이터를 보호하기 위해 점점 더 능숙하게 네트워크 트래픽을 암호화함에 따라 온라인 공격자들 역시 자신들의 악의적인 활동을 감추기 위한 보안 소켓 계층/전송 계층 보안(SSL/TLS) 계략을 강화하고 있다. 보안업체 지스케일러(Zscaler)의 연구자들에 따르면, 2017년 상반기 이 회사에서 관찰한 트랜잭션 중 평균 60%가 SSL/TLS를 통해 이루어졌다. SSL/TLS 사용 증가에는 정당한 활동은 물론 악성 활동도 한몫하고 있다. 범죄자들이 악성 콘텐츠 배포를 위해 유효한 SSL 인증서에 의존하고 있기 때문이다. SSL이 감염 고리의 일부로 포함된 웹 악용은 하루 평균 300회에 달한 것으로 나타났다. 지스케일러의 보안 연구 수석 책임자 디픈 데사이는 “크라임웨어(crimeware)군이 SSL/TLS를 이용하는 빈도가 점점 높아지고 있다”고 지적했다. 지스케일러 측에 따르면, SSL/TLS에서 전송되는 악성 콘텐츠가 지난 6개월간 2배 이상 늘어났다고 한다. 지스케일러가 자사 클라우드 플랫폼 이용 고객을 위해 2017년 전반기 동안 차단한 SSL/TLS 기반 악성 활동은 하루 평균 840만 건에 달했다. 그중 60만 건은 진보된 형태의 위협이었다. 지스케일러 연구원이 확인한 바에 따르면, 2017년 전반기 동안SSL/TLS를 통한 피싱 시도는 하루 1만 2,000건에 달했다. 2016년에 비해 400%나 늘어난 수치다. 이는 빙산의 일각에 불과하다. 지스케일러의 이번 조사에서 SSL/TLS를 이용해 페이로드(payload)를 전송하는 애드웨어(adware) 캠페인과 같은 다른 공격은 제외됐기 때문이다. 기업 네트워크 트래픽의 대부분이 암호화되면 범죄자도 자신의 활동을 암호화하는 것이 합리적이다. 그러면 IT 관리자들이 악성과 양성 트래픽을 구분하기가 더 어렵기 때문이다. 악성코드군 역시 SSL의 사용 빈도가 높아지고 있다. 침해된 엔드포인트와 지휘통제 시스템 간의 ...

2017.08.03

"임베디드 기기 수백만 대, 똑같은 암호화 키 사용 중"

라우터, 모뎀, IP카메라 VoIP전화기, 기타 임베디드 기기 다수가 동일하게 하드-코딩된 SSH(Secure Shell) 호스트 키나 HTTPS(HTTP Secure) 서버 인증을 공유하는 것으로 밝혀졌다. 해커들이 그 키를 추출한다면 수백만 기기들 사이의 트래픽을 가로채고 해독해 중간자 공격을 감행할 수 있는 것이다. Credit: Michael Homnick / PC World 보안업체 SEC컨설트(SEC Consult)의 연구원들은 70여 제조사에서 생산된 4,000여 임베디드 기기들의 펌웨어 이미지를 분석했다. 그 결과 이들 기기들에서 580개가 넘는 고유 SSH와 HTTPS 사설 키가 있었는데, 이들 상당수는 동일 벤더 혹은 다른 벤더와 키를 공유하고 있었다. 연구원들은 또 최소한 230개 이상의 키들이 400만 개가 넘는 인터넷-연결 기기들에 의해 활발하게 사용되고 있음을 밝혀냈다. 그들이 기록한 150개 정도의 HTTPS 서버 인증은 320만 대 기기에 의해 사용되고 있고, 80개의 SSH 호스트 키는 90만대 기기에서 사용되고 있었다. 나머지 키들 역시 인터넷에서 접속이 불가능한 다른 많은 기기들에서 사용될 수 있는데, 이들 기기의 경우 로컬 네트워크를 통해 이뤄지는 중간자 공격에 취약할 수 있다. SSH 호스트 키들은 SSH 서버를 구동하는 기기들의 신원을 식별하는데 사용된다. 사용자가 암호화된 SSH 프로토콜을 통해 처음 그런 기기에 접속할 때 공공-사설 키 쌍의 일부인 그 기기의 퍼블릭 키를 저장하게 된다. 다음 번 접속 시에 서버의 신원은 자동적으로 사용자의 SSH 클라이언트상에 저장된 공공 키와 기기상의 사설 키에 기반해 인증된다. 만약 공격자가 기기의 SSH 호스트 사설 키를 훔치고 사용자의 접속 시도를 탈취할 수 있는 위치에 있다면, 그는 그 기기를 가장하고 사용자의 컴퓨터가 자신의 컴퓨터와 대신 소통하게 만들 수 있다. 공격자가 사용자와 자체 웹-기반 관리 인터페이스 사이의 커뮤...

보안 암호화 TLS IoT 임베디드 기기 SSH 호스트 키 SEC컨설트

2015.11.30

라우터, 모뎀, IP카메라 VoIP전화기, 기타 임베디드 기기 다수가 동일하게 하드-코딩된 SSH(Secure Shell) 호스트 키나 HTTPS(HTTP Secure) 서버 인증을 공유하는 것으로 밝혀졌다. 해커들이 그 키를 추출한다면 수백만 기기들 사이의 트래픽을 가로채고 해독해 중간자 공격을 감행할 수 있는 것이다. Credit: Michael Homnick / PC World 보안업체 SEC컨설트(SEC Consult)의 연구원들은 70여 제조사에서 생산된 4,000여 임베디드 기기들의 펌웨어 이미지를 분석했다. 그 결과 이들 기기들에서 580개가 넘는 고유 SSH와 HTTPS 사설 키가 있었는데, 이들 상당수는 동일 벤더 혹은 다른 벤더와 키를 공유하고 있었다. 연구원들은 또 최소한 230개 이상의 키들이 400만 개가 넘는 인터넷-연결 기기들에 의해 활발하게 사용되고 있음을 밝혀냈다. 그들이 기록한 150개 정도의 HTTPS 서버 인증은 320만 대 기기에 의해 사용되고 있고, 80개의 SSH 호스트 키는 90만대 기기에서 사용되고 있었다. 나머지 키들 역시 인터넷에서 접속이 불가능한 다른 많은 기기들에서 사용될 수 있는데, 이들 기기의 경우 로컬 네트워크를 통해 이뤄지는 중간자 공격에 취약할 수 있다. SSH 호스트 키들은 SSH 서버를 구동하는 기기들의 신원을 식별하는데 사용된다. 사용자가 암호화된 SSH 프로토콜을 통해 처음 그런 기기에 접속할 때 공공-사설 키 쌍의 일부인 그 기기의 퍼블릭 키를 저장하게 된다. 다음 번 접속 시에 서버의 신원은 자동적으로 사용자의 SSH 클라이언트상에 저장된 공공 키와 기기상의 사설 키에 기반해 인증된다. 만약 공격자가 기기의 SSH 호스트 사설 키를 훔치고 사용자의 접속 시도를 탈취할 수 있는 위치에 있다면, 그는 그 기기를 가장하고 사용자의 컴퓨터가 자신의 컴퓨터와 대신 소통하게 만들 수 있다. 공격자가 사용자와 자체 웹-기반 관리 인터페이스 사이의 커뮤...

2015.11.30

구글, 웹 사이트 순위 산정에 암호화 반영 "https 적용 권고"

방문자와의 연결에 암호화 기술을 적용하지 않은 웹사이트에 대해 구글이 검색 결과 랭킹을 하향 조정할 것이라고 밝혔다. 보다 나은 온라인 보안 환경 조성을 위한 조치라고 회사는 설명했다. 구글은 이를 통해 트래픽 암호화를 위해 디지털 인증서를 이용하는 TLS(Transport Layer Security) 도입이 증가할 수 있을 것으로 기대했다. TLS를 도입하면 흔히 주소앞에 자물쇠가 등장하고 URL 시작이 'https'로 시작되게 된다. 구글이 웹을 스캔할 때는 다양할 요소를 검토해 순위를 매긴다. 웹 페이지가 독자적인 콘텐츠를 보유하고 있는지 등의 여부다. 회사의 웹마스터 트렌드 애널리스트 지네스 아이트 바하지와 개리 일라이스는, 이제 https 적용 여부가 이 검토 요소에 들어가는 것이라며 그러나 반영 수준은 '가벼운' 비율일 것이라고 전했다. 오늘 날 평판 높은 웹사이트들은 거의 모두 암호화를 이용해 로그인 정보를 처리한다. 아직 이 연결을 암호화처리하지 않는 웹 사이트들도 있는데, 이는 이른 바 중간자 공격(man-in-the-middle attack)에 의해 콘텐츠가 변질, 탈취될 수 있는 가능성을 남긴다. 한편 https 적용 작업은 규모가 작은 웹사이트에는 그리 어렵지 않다. 반면 수많은 서버를 구동하는 대기업 사이트에서는 복잡한 작업일 수 있다. 링크드인은 지난 6월 https로의 업그레이드 작업을 여전히 진행 중이라고 밝힌 바 있다. 페이스북의 인스타그램도 지난 달 동일 한 문제를 발견했는데, 인스타그램의 API가 일부 요소에 대해 비암호화된 요청을 생성하는 것이 문제였다. ciokr@idg.co.kr

구글 암호화 TLS 랭킹 https

2014.08.08

방문자와의 연결에 암호화 기술을 적용하지 않은 웹사이트에 대해 구글이 검색 결과 랭킹을 하향 조정할 것이라고 밝혔다. 보다 나은 온라인 보안 환경 조성을 위한 조치라고 회사는 설명했다. 구글은 이를 통해 트래픽 암호화를 위해 디지털 인증서를 이용하는 TLS(Transport Layer Security) 도입이 증가할 수 있을 것으로 기대했다. TLS를 도입하면 흔히 주소앞에 자물쇠가 등장하고 URL 시작이 'https'로 시작되게 된다. 구글이 웹을 스캔할 때는 다양할 요소를 검토해 순위를 매긴다. 웹 페이지가 독자적인 콘텐츠를 보유하고 있는지 등의 여부다. 회사의 웹마스터 트렌드 애널리스트 지네스 아이트 바하지와 개리 일라이스는, 이제 https 적용 여부가 이 검토 요소에 들어가는 것이라며 그러나 반영 수준은 '가벼운' 비율일 것이라고 전했다. 오늘 날 평판 높은 웹사이트들은 거의 모두 암호화를 이용해 로그인 정보를 처리한다. 아직 이 연결을 암호화처리하지 않는 웹 사이트들도 있는데, 이는 이른 바 중간자 공격(man-in-the-middle attack)에 의해 콘텐츠가 변질, 탈취될 수 있는 가능성을 남긴다. 한편 https 적용 작업은 규모가 작은 웹사이트에는 그리 어렵지 않다. 반면 수많은 서버를 구동하는 대기업 사이트에서는 복잡한 작업일 수 있다. 링크드인은 지난 6월 https로의 업그레이드 작업을 여전히 진행 중이라고 밝힌 바 있다. 페이스북의 인스타그램도 지난 달 동일 한 문제를 발견했는데, 인스타그램의 API가 일부 요소에 대해 비암호화된 요청을 생성하는 것이 문제였다. ciokr@idg.co.kr

2014.08.08

글로벌 칼럼 | SSL이 뚫렸다, 조심하라

타이 동과 줄리아노 리조가 SSL/TLS에 감행한 BEAST 공격에 대해 소문이 퍼지기 시작한 이후로 사람들은 이것이 얼마나 심각한 위협을 초래할지 불안해하고 있다.    소잃고 외양간 고치기 식 대책은 위험 분명히 말하지만 이 위협은 심각하다. 물론 장래의 공격자들이 다수의 전제 조건들을 만족시키는 확실한 목표물을 찾아내려면 각고의 노력을 기울여야 하기 때문에, 당장은 그런 일이 일어나지 않을 것이다. 하지만 불행히도 공격을 감행할 툴들은 확실히 진화하고 있다. 이에 반해 오늘날 많은 IT 조직들은 아직도 그들 스스로를 보호하기 위한 간단하고 필수적인 단계조차 갖추지 못했다.    어떻게든 공격이 성공할 수 있다는 사실만으로도 충분히 큰 의미가 있다. SSL/TLS는 VPN 기술 가운데 하나다. VPN는 보안되지 않는 네트워크 매체를 통해 정보가 전송되고 하물며 악의적인 의도로 보호된 트래픽을 가로챌 수 있는 상황에서도 끝까지 정보를 안전하게 보호해야 한다. 그러나 BEAST 공격은 SSL/TLS의 VPN 보호를 어느 정도 뚫는데 성공했다.    이러한 맥락에서 이 공격은 상당히 중요하다. 적절한 요건들만 만족하면 사이버 범죄자는 보호된 HTTPS 쿠키를 훔칠 수 있고, 그렇게 되면 본질적으로는 활성화된 HTTPS 세션을 가로챌 수 있다. 이는 틀림없다. BEAST 공격은 주장한 바대로 이루어졌다.  그러나 다음의 두 가지 중요한 사실은 위협의 심각성을 조금 덜어준다. 앞서 언급한 전제 조건들과 많은 시나리오들에 대해 이미 여러 가지 대책이 마련되어 있다는 점이다.    BEAST 공격은 SSL 3.1/TLS 1/1 VPN 프로토콜의 pre 버전을 상대로 성공을 거둘 수 있었지만, 많은 브라우저들은 사용자들이 이미 post 버전을 선택할 수 있도록 하고 있다. 일부 브라우저 제공업체들은 이전 프로토콜에서 발견...

소셜 엔지니어링 BEAST SSL TLS 타이 동

2011.10.10

타이 동과 줄리아노 리조가 SSL/TLS에 감행한 BEAST 공격에 대해 소문이 퍼지기 시작한 이후로 사람들은 이것이 얼마나 심각한 위협을 초래할지 불안해하고 있다.    소잃고 외양간 고치기 식 대책은 위험 분명히 말하지만 이 위협은 심각하다. 물론 장래의 공격자들이 다수의 전제 조건들을 만족시키는 확실한 목표물을 찾아내려면 각고의 노력을 기울여야 하기 때문에, 당장은 그런 일이 일어나지 않을 것이다. 하지만 불행히도 공격을 감행할 툴들은 확실히 진화하고 있다. 이에 반해 오늘날 많은 IT 조직들은 아직도 그들 스스로를 보호하기 위한 간단하고 필수적인 단계조차 갖추지 못했다.    어떻게든 공격이 성공할 수 있다는 사실만으로도 충분히 큰 의미가 있다. SSL/TLS는 VPN 기술 가운데 하나다. VPN는 보안되지 않는 네트워크 매체를 통해 정보가 전송되고 하물며 악의적인 의도로 보호된 트래픽을 가로챌 수 있는 상황에서도 끝까지 정보를 안전하게 보호해야 한다. 그러나 BEAST 공격은 SSL/TLS의 VPN 보호를 어느 정도 뚫는데 성공했다.    이러한 맥락에서 이 공격은 상당히 중요하다. 적절한 요건들만 만족하면 사이버 범죄자는 보호된 HTTPS 쿠키를 훔칠 수 있고, 그렇게 되면 본질적으로는 활성화된 HTTPS 세션을 가로챌 수 있다. 이는 틀림없다. BEAST 공격은 주장한 바대로 이루어졌다.  그러나 다음의 두 가지 중요한 사실은 위협의 심각성을 조금 덜어준다. 앞서 언급한 전제 조건들과 많은 시나리오들에 대해 이미 여러 가지 대책이 마련되어 있다는 점이다.    BEAST 공격은 SSL 3.1/TLS 1/1 VPN 프로토콜의 pre 버전을 상대로 성공을 거둘 수 있었지만, 많은 브라우저들은 사용자들이 이미 post 버전을 선택할 수 있도록 하고 있다. 일부 브라우저 제공업체들은 이전 프로토콜에서 발견...

2011.10.10

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13