Home > Àüü±â»ç

HTTPSÀÇ º¸¾È Ç°ÁúÀº ¾î¶»½À´Ï±î?

ÀÔ·Â : 2016-07-06 11:45
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
HTTPS º¸¾È Ç°Áú Å×½ºÆ® °á°ú, ÃÑ 31°³ ±â¾÷ Áß 68%¿¡¼­ ¸Å¿ì Ãë¾àÇÑ HTTPS »ç¿ë

[º¸¾È´º½º=¹ÚÇü±Ù ½ÃÅ¥¸®Æ¼Ç÷¯½º ´ëÇ¥] Áö³­ ±â°í¿¡¼­ À¥ µ¥ÀÌÅÍÀÇ ¹«°á¼º, º¸¾È¼º, ±×¸®°í ¹Ì·¡ ÀÎÅͳÝÀÇ Áغñ¸¦ À§ÇØ HTTPS¸¦ Çʼö·Î »ç¿ëÇÏÀÚ(Áö³­ ±Û ´Ù½Ã º¸±â)°í Çß´Ù. ±×·¯¸é °ú¿¬ HTTPS¿¡ ´ëÇÑ ÅõÀÚ, Áï HTTPS¸¦ Àû¿ë¸¸ ÇÑ´Ù¸é ¿øÇÏ´Â ¸ñÇ¥¸¦ ´Þ¼ºÇÒ ¼ö ÀÖÀ»±î?


½ÃÅ¥¸®Æ¼Ç÷¯½º¿¡¼­´Â ÀÌ·¯ÇÑ Àǹ®¿¡ ´ëÇÑ ÇØ´äÀ» ã±â À§ÇØ ±¹³» ±â¾÷µé °¡¿îµ¥¼­ HTTPS¸¦ »ç¿ëÇÏ°í ÀÖ´Â À¥ ¼­ºñ½º¿¡ ´ëÇÑ º¸¾È Å×½ºÆ®¸¦ ¼öÇàÇß´Ù. ¾Æ½±°Ôµµ ¾ÆÁ÷±îÁö ±¹³» ±â¾÷µé Áß¿¡´Â ¼­ºñ½º Àü¹Ý¿¡ °ÉÃÄ È¤Àº HTTPS¸¸À¸·Î ¼­ºñ½ºÇÏ°í ÀÖ´Â ±â¾÷À» ½±°Ô ãÀ» ¼ö ¾ø¾ú´Ù.

HTTPS º¸¾È Ç°Áú Å×½ºÆ® °á°ú, ´ë»óÀ¸·Î ¼±Á¤µÈ ÀºÇà, Æ÷ÅÐ, º´¿ø, Ä«µå, Áõ±Ç, º¸Çè»ç µî ÃÑ 31°³ ±â¾÷ Áß 68%¿¡ ÇØ´ç µÇ´Â 21°³ ±â¾÷¿¡¼­ À߸øµÈ ¼³Á¤À¸·Î ÀÎÇØ ¸Å¿ì Ãë¾àÇÑ HTTPS¸¦ »ç¿ëÇÏ°í ÀÖ¾ú´Ù.

HTTPSÀÇ À߸øµÈ ¼³Á¤ Áß °¡Àå ¸¹Àº Ãë¾àÁ¡Àº RC4 ¾Ïȣȭ¸¦ »ç¿ëÇÏ´Â °ÍÀ̸ç, ´ÙÀ½Àº TLS1.2 ÇÁ·ÎÅäÄÝÀ» »ç¿ëÇÏÁö ¾Ê´Â °Í°ú Ãë¾àÇÑ SSL v3 ȤÀº SSL v2 ÇÁ·ÎÅäÄÝÀ» »ç¿ëÇÏ´Â °ÍÀ̾ú´Ù. ¹Ý¸é¿¡ ±¹¹ÎÀºÇà, ¿ì¸®ÀºÇà, SCÀºÇà, ´õÄÉÀÌÀúÃàÀºÇà, ±¹¹ÎÄ«µå, ·Ôµ¥Ä«µå, »ï¼ºÄ«µå, ½ÅÇÑÄ«µå µîÀÇ ±â¾÷¿¡¼­´Â Ãë¾àÇÏÁö ¾ÊÀº HTTPS ÇÁ·ÎÅäÄÝ ¿î¿µÀ» ÇÏ°í ÀÖ¾î ¸ð¹üÀûÀ̾ú´Ù.

RC4´Â 1987³â RSA½ÃÅ¥¸®Æ¼ÀÇ ·Î³Îµå ¶óÀ̺£½ºÆ®(Ron Rivest)¿¡ ÀÇÇØ °³¹ßµÈ ½ºÆ®¸² ¾ÏÈ£·Î 1995³âºÎÅÍ SSLÀÇ Ç¥ÁØ ¾Ïȣȭ ÇÁ·ÎÅäÄÝÀÌ´Ù. RC4 ¾Ë°í¸®Áò¿¡ ´ëÇؼ­´Â ¸¹Àº ´Ù¾çÇÑ Ãë¾àÁ¡ÀÌ º¸°íµÇ°í ¾Ë·ÁÁ³´Ù. RC4 ¾ÏÈ£¸¦ ±ú±â À§Çؼ­´Â ´ÜÁö 226 °³ÀÇ ¼¼¼ÇÀ̳ª 13X230°³ÀÇ ¾ÏÈ£°¡ ¿ä±¸µÇ¾î ÇöÀç·Î½á´Â SSL ¼¼¼ÇÀ» À§ÇÑ ÃæºÐÇÑ ¼öÁØÀÇ º¸¾ÈÀ» Á¦°øÇÑ´Ù°í º¼ ¼ö ¾ø´Ù. °á±¹ RFC 7465 ¿¡¼­´Â ¸ðµç ¹öÀüÀÇ SSL/TLS ¾Ïȣȭ Åë½Å¿¡¼­ RC4 ¾ÏÈ£ÀÇ »ç¿ëÀ» ±ÝÁöÇß´Ù.

´ÙÀ½À¸·Î TLS 1.2´Â SSL ¹öÀü 3·ÎºÎÅÍ ¾÷±×·¹À̵åµÈ TLS ¹öÀü 1.0, ±×·ÎºÎÅÍ ´Ù½Ã ¾÷±×·¹À̵åµÈ TLS ¹öÀü 1.1¿¡¼­ 2008³âµµ¿¡ ´Ù½Ã TLS ¹öÀü 1.2·Î ¾÷±×·¹À̵åµÈ ÇÁ·ÎÅäÄÝÀÌ´Ù. ÀÌÀü°ú ´Þ¶óÁø ºÎºÐÀº MD5-SHA1 ¼­¸í ¾Ë°í¸®Áò¿¡¼­ SHA-256À¸·Î ¹Ù²î¾ú°í, AES(Advanced Encryption Standard) ¾ÏÈ£°¡ Ãß°¡µÇ¾ú´Ù. ÇöÀç·Î½á´Â °¡Àå ±ÇÀåµÇ´Â ¾Ïȣȭ Åë½Å ÇÁ·ÎÅäÄÝÀ̸ç, TLS ¹öÀü 1.3ÀÌ °³¹ß Áß¿¡ ÀÖ´Ù.

¸¶Áö¸·À¸·Î Ãë¾àÇÑ SSL ¹öÀü 3 ȤÀº SSL ¹öÀü 2 ÇÁ·ÎÅäÄÝÀ» »ç¿ëÇÏ´Â °ÍÀÌ´Ù. TLS ÀÌÀüÀÇ ¾Ïȣȭ Åë½Å ÇÁ·ÎÅäÄÝ·Î ³Ý½ºÄÉÀÌÇÁ »ç¿¡¼­ °³¹ßµÇ¾î SSL ¹öÀü 2´Â 1995³â¿¡, SSL ¹öÀü 3´Â 1996³â¿¡ ¹ßÇ¥µÇ¾ú´Ù. ±×·¯³ª SSL ¹öÀü 3´Â 2014³â SSLÀÇ ¸ðµç ºí·Ï ¾ÏÈ£¿¡ ¿µÇâÀ» Áִ Ǫµé(POODLE) °ø°ÝÀÇ Ãë¾àÇÑ °ÍÀ¸·Î ¹àÇôÁ³À¸¸ç, ¾Õ¼­ ÁöÀûÇÑ RC4 ¾ÏÈ£ÀÇ »ç¿ëÀ¸·Î ÀÎÇØ ½±°Ô ¾ÏÈ£°¡ ±úÁú ¼ö ÀÖ¾î 2011³â¿¡ RFC 6176¿¡ ÀÇÇØ SSL ¹öÀü 2°¡, ±×¸®°í 2015³â¿¡´Â RFC 7568¿¡ ÀÇÇØ SSL ¹öÀü 3°¡ »ç¿ë ±ÝÁöµÇ¾ú´Ù.

°¢ À¥ ¼­¹öÀÇ SSL/TLS ±¸¼º ¹æ¹ý¿¡ µû¶ó ´Ù¸£°ÚÀ¸³ª, ÇϳªÀÇ ¿¹·Î½á ¾ÆÆÄÄ¡ À¥ ¼­¹ö¸¦ ¿¹¸¦ µé¸é, Ãë¾àÇÑ SSL ¹öÀü 3 ȤÀº SSL ¹öÀü 2 ÇÁ·ÎÅäÄÝÀÇ »ç¿ëÀ» ±ÝÁöÇÏ°í, ±ÇÀåµÇ´Â TLS ÇÁ·ÎÅäÄÝ, ƯÈ÷ TLS 1.2 ÇÁ·ÎÅäÄÝ »ç¿ëÀ» À§Çؼ­´Â SSL ¼³Á¤ ÆÄÀÏ(ÂüÁ¶ /etc/httpd/conf.d/ssl.conf)¿¡¼­ ¾Æ·¡¿Í °°ÀÌ ¼³Á¤ÇÑ´Ù.


¶ÇÇÑ, Ãë¾àÇÑ RC4 ºí·Ï ¾ÏÈ£³ª, Ãë¾àÇÑ MD5 ȤÀº SHA1 ¼­¸í ¾Ë°í¸®ÁòÀÇ »ç¿ëÀ» ±ÝÁöÇÏ°í, ±ÇÀåµÇ´Â ºí·Ï ¾ÏÈ£ ¹× ¼­¸í ¾Ë°í¸®ÁòÀÇ »ç¿ëÀ» Á¤ÀÇÇϱâ À§Çؼ­´Â ¸¶Âù°¡Áö·Î SSL ¼³Á¤ ÆÄÀÏ¿¡¼­ ¾Æ·¡¿Í °°ÀÌ ¼³Á¤ÇÑ´Ù.


Ãß°¡ÀûÀ¸·Î ¾ÆÆÄÄ¡ À¥ ¼­¹ö°¡ °­µµ ³ôÀº ¾Ïȣȭ ¿¬°á ½Ãµµ¸¦ ¸ÕÀú Çϵµ·Ï ¾Æ·¡ ¿É¼ÇÀ» »ç¿ëÇÒ °ÍÀ» ±ÇÀåÇÑ´Ù.


´Ù¾çÇÑ À¥ ¼­¹ö¿¡¼­ À¯»çÇÑ ¼³Á¤À» Áö¿øÇÏ°í ÀÖÀ¸´Ï, À¥ ¼­¹öÀÇ °ø±Þȸ»ç¿¡ ¹®ÀÇÇØ °­µµ ³ôÀº HTTPS ¼³Á¤À» ÇÒ ¼ö ÀÖ´Ù.

ÀÌ·¸°Ô ¼³Á¤µÈ HTTPSÀÇ °­µµ¸¦ Å×½ºÆ®Çϱâ À§Çؼ­ ´Ù¾çÇÑ ¹«·á °ø°³ À¥ ¼­ºñ½ºµé°ú À¯Æ¿¸®Æ¼ ¼­ºñ½º¸¦ »ç¿ëÇÒ ¼ö ÀÖ´Ù. ÇÊÀÚ´Â °£ÆíÇÏ°Ô »ç¿ëÇÒ ¼ö ÀÖ´Â Qualys SSL LabsÀÇ SSL Server Test (https://www.ssllabs.com/ssltest/analyze.html)¸¦ »ç¿ëÇØ º¼ °ÍÀ» ÃßõÇÑ´Ù. ÀÌ¿Í ÇÔ²² ´Ù¾çÇÑ SSL ¹× TLSÀÇ ¾Ë·ÁÁø °ø°Ý°ú Ãë¾àÁ¡¿¡ ´ëÇؼ­ Á¤¸®µÈ RFC 7457 (https://tools.ietf.org/html/rfc7457) Ç¥ÁØ ¹®¼­µµ ÇÑ ¹ø ÀÐ¾î º¸±æ ±ÇÇÑ´Ù.

¾î·Æ°Ô º¸¾È ÅõÀÚ¸¦ ÇÏ°íµµ ¿øÇÏ´Â ¸ñÇ¥¸¦ ´Þ¼ºÇÒ ¼ö ¾ø´Ù¸é ÀÌó·³ ¾ÈŸ±î¿î ÀÏÀÌ ¾øÀ» °ÍÀÌ´Ù. ¸ðµç ÅõÀÚ¿¡ ÀÖ¾î ¹Ýµå½Ã ´Þ¼ºÇØ¾ß ÇÒ ¸ñÇ¥°¡ ÀÖ°í, ±× ¸ñÇ¥¸¦ ´Þ¼ºÇϱâ À§ÇØ º¯È­ °ü¸®¿Í Ç°Áú °ü¸®°¡ ÇÊ¿äÇÏ´Ù. ÀÌÁ¦ º¸¾È¿¡ À־µµ ´Ü¼øÈ÷ ±â¼ú µµÀÔ»Ó¸¸ ¾Æ´Ï¶ó ¿î¿µ°ú º¸¾È Ç°Áú¿¡ À־µµ Áö¼ÓÀûÀ¸·Î °ü½ÉÀ» °®°í °ü¸®ÇØ¾ß ÇÒ ½ÃÁ¡ÀÌ´Ù.
[±Û_ ¹ÚÇü±Ù ½ÃÅ¥¸®Æ¼Ç÷¯½º ´ëÇ¥(securityplus@securityplus.or.kr)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 1
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)