[º¸¾È´º½º=¹ÚÇü±Ù ½ÃÅ¥¸®Æ¼Ç÷¯½º ´ëÇ¥] Áö³ ±â°í¿¡¼ À¥ µ¥ÀÌÅÍÀÇ ¹«°á¼º, º¸¾È¼º, ±×¸®°í ¹Ì·¡ ÀÎÅͳÝÀÇ Áغñ¸¦ À§ÇØ HTTPS¸¦ Çʼö·Î »ç¿ëÇÏÀÚ(Áö³ ±Û ´Ù½Ã º¸±â)°í Çß´Ù. ±×·¯¸é °ú¿¬ HTTPS¿¡ ´ëÇÑ ÅõÀÚ, Áï HTTPS¸¦ Àû¿ë¸¸ ÇÑ´Ù¸é ¿øÇÏ´Â ¸ñÇ¥¸¦ ´Þ¼ºÇÒ ¼ö ÀÖÀ»±î?
½ÃÅ¥¸®Æ¼Ç÷¯½º¿¡¼´Â ÀÌ·¯ÇÑ Àǹ®¿¡ ´ëÇÑ ÇØ´äÀ» ã±â À§ÇØ ±¹³» ±â¾÷µé °¡¿îµ¥¼ HTTPS¸¦ »ç¿ëÇÏ°í ÀÖ´Â À¥ ¼ºñ½º¿¡ ´ëÇÑ º¸¾È Å×½ºÆ®¸¦ ¼öÇàÇß´Ù. ¾Æ½±°Ôµµ ¾ÆÁ÷±îÁö ±¹³» ±â¾÷µé Áß¿¡´Â ¼ºñ½º Àü¹Ý¿¡ °ÉÃÄ È¤Àº HTTPS¸¸À¸·Î ¼ºñ½ºÇÏ°í ÀÖ´Â ±â¾÷À» ½±°Ô ãÀ» ¼ö ¾ø¾ú´Ù.
HTTPS º¸¾È Ç°Áú Å×½ºÆ® °á°ú, ´ë»óÀ¸·Î ¼±Á¤µÈ ÀºÇà, Æ÷ÅÐ, º´¿ø, Ä«µå, Áõ±Ç, º¸Çè»ç µî ÃÑ 31°³ ±â¾÷ Áß 68%¿¡ ÇØ´ç µÇ´Â 21°³ ±â¾÷¿¡¼ À߸øµÈ ¼³Á¤À¸·Î ÀÎÇØ ¸Å¿ì Ãë¾àÇÑ HTTPS¸¦ »ç¿ëÇÏ°í ÀÖ¾ú´Ù.
HTTPSÀÇ À߸øµÈ ¼³Á¤ Áß °¡Àå ¸¹Àº Ãë¾àÁ¡Àº RC4 ¾Ïȣȸ¦ »ç¿ëÇÏ´Â °ÍÀ̸ç, ´ÙÀ½Àº TLS1.2 ÇÁ·ÎÅäÄÝÀ» »ç¿ëÇÏÁö ¾Ê´Â °Í°ú Ãë¾àÇÑ SSL v3 ȤÀº SSL v2 ÇÁ·ÎÅäÄÝÀ» »ç¿ëÇÏ´Â °ÍÀ̾ú´Ù. ¹Ý¸é¿¡ ±¹¹ÎÀºÇà, ¿ì¸®ÀºÇà, SCÀºÇà, ´õÄÉÀÌÀúÃàÀºÇà, ±¹¹ÎÄ«µå, ·Ôµ¥Ä«µå, »ï¼ºÄ«µå, ½ÅÇÑÄ«µå µîÀÇ ±â¾÷¿¡¼´Â Ãë¾àÇÏÁö ¾ÊÀº HTTPS ÇÁ·ÎÅäÄÝ ¿î¿µÀ» ÇÏ°í ÀÖ¾î ¸ð¹üÀûÀ̾ú´Ù.
RC4´Â 1987³â RSA½ÃÅ¥¸®Æ¼ÀÇ ·Î³Îµå ¶óÀ̺£½ºÆ®(Ron Rivest)¿¡ ÀÇÇØ °³¹ßµÈ ½ºÆ®¸² ¾ÏÈ£·Î 1995³âºÎÅÍ SSLÀÇ Ç¥ÁØ ¾ÏÈ£È ÇÁ·ÎÅäÄÝÀÌ´Ù. RC4 ¾Ë°í¸®Áò¿¡ ´ëÇؼ´Â ¸¹Àº ´Ù¾çÇÑ Ãë¾àÁ¡ÀÌ º¸°íµÇ°í ¾Ë·ÁÁ³´Ù. RC4 ¾ÏÈ£¸¦ ±ú±â À§Çؼ´Â ´ÜÁö 226 °³ÀÇ ¼¼¼ÇÀ̳ª 13X230°³ÀÇ ¾ÏÈ£°¡ ¿ä±¸µÇ¾î ÇöÀç·Î½á´Â SSL ¼¼¼ÇÀ» À§ÇÑ ÃæºÐÇÑ ¼öÁØÀÇ º¸¾ÈÀ» Á¦°øÇÑ´Ù°í º¼ ¼ö ¾ø´Ù. °á±¹ RFC 7465 ¿¡¼´Â ¸ðµç ¹öÀüÀÇ SSL/TLS ¾ÏÈ£È Åë½Å¿¡¼ RC4 ¾ÏÈ£ÀÇ »ç¿ëÀ» ±ÝÁöÇß´Ù.
´ÙÀ½À¸·Î TLS 1.2´Â SSL ¹öÀü 3·ÎºÎÅÍ ¾÷±×·¹À̵åµÈ TLS ¹öÀü 1.0, ±×·ÎºÎÅÍ ´Ù½Ã ¾÷±×·¹À̵åµÈ TLS ¹öÀü 1.1¿¡¼ 2008³âµµ¿¡ ´Ù½Ã TLS ¹öÀü 1.2·Î ¾÷±×·¹À̵åµÈ ÇÁ·ÎÅäÄÝÀÌ´Ù. ÀÌÀü°ú ´Þ¶óÁø ºÎºÐÀº MD5-SHA1 ¼¸í ¾Ë°í¸®Áò¿¡¼ SHA-256À¸·Î ¹Ù²î¾ú°í, AES(Advanced Encryption Standard) ¾ÏÈ£°¡ Ãß°¡µÇ¾ú´Ù. ÇöÀç·Î½á´Â °¡Àå ±ÇÀåµÇ´Â ¾ÏÈ£È Åë½Å ÇÁ·ÎÅäÄÝÀ̸ç, TLS ¹öÀü 1.3ÀÌ °³¹ß Áß¿¡ ÀÖ´Ù.
¸¶Áö¸·À¸·Î Ãë¾àÇÑ SSL ¹öÀü 3 ȤÀº SSL ¹öÀü 2 ÇÁ·ÎÅäÄÝÀ» »ç¿ëÇÏ´Â °ÍÀÌ´Ù. TLS ÀÌÀüÀÇ ¾ÏÈ£È Åë½Å ÇÁ·ÎÅäÄÝ·Î ³Ý½ºÄÉÀÌÇÁ »ç¿¡¼ °³¹ßµÇ¾î SSL ¹öÀü 2´Â 1995³â¿¡, SSL ¹öÀü 3´Â 1996³â¿¡ ¹ßÇ¥µÇ¾ú´Ù. ±×·¯³ª SSL ¹öÀü 3´Â 2014³â SSLÀÇ ¸ðµç ºí·Ï ¾ÏÈ£¿¡ ¿µÇâÀ» Áִ Ǫµé(POODLE) °ø°ÝÀÇ Ãë¾àÇÑ °ÍÀ¸·Î ¹àÇôÁ³À¸¸ç, ¾Õ¼ ÁöÀûÇÑ RC4 ¾ÏÈ£ÀÇ »ç¿ëÀ¸·Î ÀÎÇØ ½±°Ô ¾ÏÈ£°¡ ±úÁú ¼ö ÀÖ¾î 2011³â¿¡ RFC 6176¿¡ ÀÇÇØ SSL ¹öÀü 2°¡, ±×¸®°í 2015³â¿¡´Â RFC 7568¿¡ ÀÇÇØ SSL ¹öÀü 3°¡ »ç¿ë ±ÝÁöµÇ¾ú´Ù.
°¢ À¥ ¼¹öÀÇ SSL/TLS ±¸¼º ¹æ¹ý¿¡ µû¶ó ´Ù¸£°ÚÀ¸³ª, ÇϳªÀÇ ¿¹·Î½á ¾ÆÆÄÄ¡ À¥ ¼¹ö¸¦ ¿¹¸¦ µé¸é, Ãë¾àÇÑ SSL ¹öÀü 3 ȤÀº SSL ¹öÀü 2 ÇÁ·ÎÅäÄÝÀÇ »ç¿ëÀ» ±ÝÁöÇÏ°í, ±ÇÀåµÇ´Â TLS ÇÁ·ÎÅäÄÝ, ƯÈ÷ TLS 1.2 ÇÁ·ÎÅäÄÝ »ç¿ëÀ» À§Çؼ´Â SSL ¼³Á¤ ÆÄÀÏ(ÂüÁ¶ /etc/httpd/conf.d/ssl.conf)¿¡¼ ¾Æ·¡¿Í °°ÀÌ ¼³Á¤ÇÑ´Ù.
¶ÇÇÑ, Ãë¾àÇÑ RC4 ºí·Ï ¾ÏÈ£³ª, Ãë¾àÇÑ MD5 ȤÀº SHA1 ¼¸í ¾Ë°í¸®ÁòÀÇ »ç¿ëÀ» ±ÝÁöÇÏ°í, ±ÇÀåµÇ´Â ºí·Ï ¾ÏÈ£ ¹× ¼¸í ¾Ë°í¸®ÁòÀÇ »ç¿ëÀ» Á¤ÀÇÇϱâ À§Çؼ´Â ¸¶Âù°¡Áö·Î SSL ¼³Á¤ ÆÄÀÏ¿¡¼ ¾Æ·¡¿Í °°ÀÌ ¼³Á¤ÇÑ´Ù.
Ãß°¡ÀûÀ¸·Î ¾ÆÆÄÄ¡ À¥ ¼¹ö°¡ °µµ ³ôÀº ¾ÏÈ£È ¿¬°á ½Ãµµ¸¦ ¸ÕÀú Çϵµ·Ï ¾Æ·¡ ¿É¼ÇÀ» »ç¿ëÇÒ °ÍÀ» ±ÇÀåÇÑ´Ù.
´Ù¾çÇÑ À¥ ¼¹ö¿¡¼ À¯»çÇÑ ¼³Á¤À» Áö¿øÇÏ°í ÀÖÀ¸´Ï, À¥ ¼¹öÀÇ °ø±Þȸ»ç¿¡ ¹®ÀÇÇØ °µµ ³ôÀº HTTPS ¼³Á¤À» ÇÒ ¼ö ÀÖ´Ù.
ÀÌ·¸°Ô ¼³Á¤µÈ HTTPSÀÇ °µµ¸¦ Å×½ºÆ®Çϱâ À§Çؼ ´Ù¾çÇÑ ¹«·á °ø°³ À¥ ¼ºñ½ºµé°ú À¯Æ¿¸®Æ¼ ¼ºñ½º¸¦ »ç¿ëÇÒ ¼ö ÀÖ´Ù. ÇÊÀÚ´Â °£ÆíÇÏ°Ô »ç¿ëÇÒ ¼ö ÀÖ´Â Qualys SSL LabsÀÇ SSL Server Test (https://www.ssllabs.com/ssltest/analyze.html)¸¦ »ç¿ëÇØ º¼ °ÍÀ» ÃßõÇÑ´Ù. ÀÌ¿Í ÇÔ²² ´Ù¾çÇÑ SSL ¹× TLSÀÇ ¾Ë·ÁÁø °ø°Ý°ú Ãë¾àÁ¡¿¡ ´ëÇؼ Á¤¸®µÈ RFC 7457 (https://tools.ietf.org/html/rfc7457) Ç¥ÁØ ¹®¼µµ ÇÑ ¹ø ÀÐ¾î º¸±æ ±ÇÇÑ´Ù.
¾î·Æ°Ô º¸¾È ÅõÀÚ¸¦ ÇÏ°íµµ ¿øÇÏ´Â ¸ñÇ¥¸¦ ´Þ¼ºÇÒ ¼ö ¾ø´Ù¸é ÀÌó·³ ¾ÈŸ±î¿î ÀÏÀÌ ¾øÀ» °ÍÀÌ´Ù. ¸ðµç ÅõÀÚ¿¡ ÀÖ¾î ¹Ýµå½Ã ´Þ¼ºÇØ¾ß ÇÒ ¸ñÇ¥°¡ ÀÖ°í, ±× ¸ñÇ¥¸¦ ´Þ¼ºÇϱâ À§ÇØ º¯È °ü¸®¿Í Ç°Áú °ü¸®°¡ ÇÊ¿äÇÏ´Ù. ÀÌÁ¦ º¸¾È¿¡ À־µ ´Ü¼øÈ÷ ±â¼ú µµÀÔ»Ó¸¸ ¾Æ´Ï¶ó ¿î¿µ°ú º¸¾È Ç°Áú¿¡ À־µ Áö¼ÓÀûÀ¸·Î °ü½ÉÀ» °®°í °ü¸®ÇØ¾ß ÇÒ ½ÃÁ¡ÀÌ´Ù.
[±Û_ ¹ÚÇü±Ù ½ÃÅ¥¸®Æ¼Ç÷¯½º ´ëÇ¥(securityplus@securityplus.or.kr)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>