SSL 의 6 가지 주요 보안 약점 (2014 년 기준)
Source
Evernote/Technote scraps/제목 없는 노트.md
Summary
본문은 2014 년 당시 SSL(Secure Sockets Layer) 프로토콜이 광범위하게 사용됨에도 불구하고 근본적인 보안 한계를 지니고 있음을 지적한다. 주요 6 가지 약점은 다음과 같다: 1) 최종 접속 사이트의 신뢰성 (피싱 등) 은 검증하지 못함, 2) 해커가 C&C 서버 통신 은폐 등 악용에 사용함, 3) OpenSSL 등 애플리케이션 구현체 취약점 (하트블리드 등) 으로 인해 시스템 전체의 신뢰도 하락, 4) 사용자가 보안 경고 메시지를 무시하고 우회하는 행동 패턴, 5) 깨진 알고리즘인 SHA-1 을 여전히 대다수 인증서에서 사용 중, 6) SSLStrip, DigiNotar 사건 등 역사적 공격 사례가 다수 존재함. 결론적으로 SSL 자체의 기술적 한계와 사용자의 보안 무관심, 그리고 취약한 구현체가 결합되어 보안성을 저해한다고 분석한다.
Key Points
- SSL 은 중간자 공격 방어는 가능하나, 최종 접속 사이트가 악성 사이트인지 (피싱 등) 판별하지 못함.
- 해커들이 SSL 을 활용하여 멀웨어 C&C 서버 통신을 암호화하거나 정보를 탈취하는 등 공격 도구로 악용함.
- 하트블리드와 같은 OpenSSL 구현체 취약점은 SSL 프로토콜 자체의 문제가 아니나, 사용자에게는 SSL 의 신뢰도 하락으로 인식됨.
- 브라우저의 보안 경고 메시지를 사용자가 쉽게 우회 (클릭) 함으로써 보안 장치가 무력화됨.
- 당시 인터넷 SSL 인증서의 98% 가 보안상 취약한 SHA-1 알고리즘을 사용 중이었음.
- SSLStrip, THC-SSL-DOS, DigiNotar 인증서 유출 사건 등 SSL 기반 공격 사례가 빈번하게 발생함.