Home > Àüü±â»ç

¾Ïȣȭ ±â¼ú Àû¿ëµÈ Àåºñ ¹«·ÂÈ­½ÃÅ°´Â ¡®´ö¡¯ °ø°Ý ¹ß°ß

ÀÔ·Â : 2017-10-26 14:43
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
DUHK : Don¡¯t Use Hard-coded Keys...ÇϵåÄÚµåµÈ Å°¿¡¼­ ¿À·ù ¹ß»ý
Ãë¾àÁ¡ ÀͽºÇ÷ÎÀÕ Çϸé Áß°£ÀÚ °ø°Ý ÅëÇØ ¹Î°¨ÇÑ Á¤º¸ Ãëµæ °¡´É


[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ÀϺΠÆ÷Ƽ³Ý(Fortinet) ±â±âµé¿¡¼­ ºñ¹Ð Å°¸¦ ³ëÃâ½ÃÅ°´Â Ãë¾àÁ¡ÀÌ ¹ß°ßµÆ´Ù. ¡°ANSI X9.31 ³­¼ö¹ß»ý±â¿Í ÇϵåÄÚµå µÈ ½Ãµå Å°¸¦ ÇÔ²² »ç¿ëÇÏ´Â ±â±âµéÀÌ Ãë¾àÇÑ »óÅ¡±¶ó°í Á¸½ºÈ©Å²½º ´ëÇÐÀÇ ¿¬±¸¿øµéÀÌ ¹ßÇ¥Çß´Ù. ÀÌ ¿¬±¸¿øµéÀº ³ªµð¾Æ Çì´ÑÀú(Nadia Heninger), ¼¨³Í ÄÚÇî(Shaanan Cohen), ¸ÅÆ© ±×¸°(Matthew Green)À̸ç, ÀÌ Ãë¾àÁ¡À» È°¿ëÇÑ °ø°ÝÀ» ´ö(DUHK)À̶ó°í À̸§ ºÙ¿´´Ù.

[À̹ÌÁö = iclickart]


¡°´öÀº ¡®ÇϵåÄÚµåµÈ Å°¸¦ »ç¿ëÇÏÁö ¸¶¼¼¿ä¡¯ÀÇ Áظ»ÀÔ´Ï´Ù(Don¡¯t Use Hard-coded Keys). °ø°ÝÀÚµéÀÌ ºñ¹Ð ¾Ïȣȭ Å°¸¦ Å»ÃëÇØ VPN Åë½ÅÀ̳ª ¾ÏȣȭµÈ À¥ ¼¼¼ÇÀ» º¹È£È­½Ãų ¼ö ÀÖµµ·Ï ÇØÁÝ´Ï´Ù. Áï ¹Î°¨ÇÑ »ç¾÷ ¿î¿µ¿ë µ¥ÀÌÅͳª ·Î±×ÀÎ Å©¸®µ§¼È, ½Å¿ëÄ«µå Á¤º¸ µîÀÌ ÀÌ Ãë¾àÁ¡ ¶§¹®¿¡ »õ³ª°¥ ¼ö ÀÖ°Ô µÈ´Ù´Â ¶æÀÔ´Ï´Ù.¡±

ÇöÀç±îÁö ¹àÇôÁø ¹Ù FortiOS 4.3.0ºÎÅÍ FortiOS 4.3.18 ¹öÀüÀ» »ç¿ëÇÏ´Â VPN Æ®·¡ÇÈÀº, ¾ÏȣȭµÈ ÇÚµå¼ÎÀÌÅ© Æ®·¡ÇÈÀ» °üÂûÇÒ ¼ö ÀÖ´Â ÀÚ¿¡ ÀÇÇØ º¹È£È­µÇ´Â °Ô °¡´ÉÇÏ´Ù. ¾à 2¸¸ 5õ¿© ´ëÀÇ Æ÷Ƽ³Ý ±â±âµéÀÌ ´ö °ø°Ý¿¡ Ãë¾àÇÑ »óŶó°í ÇÑ´Ù. ¡°X9.31 ³­¼ö¹ß»ý±â¿Í ÇϵåÄÚµå µÈ ½Ãµå Å°¸¦ °°ÀÌ »ç¿ëÇÏ°í, °Å±â¼­ ³ª¿Â °á°ú¹°À» ¾Ïȣȭ Å°¸¦ »ý¼ºÇÏ´Â µ¥¿¡ »ç¿ëÇϸé ÀϺΠ۵éÀÌ ¾ÏȣȭµÇÁö ¾ÊÀº ä·Î Àü¼ÛµË´Ï´Ù. SSL/TLS¿Í IPsec¿¡¼­µµ ³ªÅ¸³ª´Â Çö»óÀÔ´Ï´Ù.¡±

ANSI X9.31 ³­¼ö¹ß»ý±â´Â ÀÇ»ç ³­¼ö(pseudorandom)¸¦ »ý¼ºÇÏ´Â ¾Ë°í¸®ÁòÀ¸·Î ´Ù¾çÇÑ ¾Ïȣȭ Ç¥Áص鿡 µµÀԵǾî ÀÖ´Ù. ÇÏÁö¸¸ ÀÇ»ç ³­¼ö ¹ß»ý±â°¡ °¡Áø Ãë¾àÁ¡Àº ÀÌ¹Ì 1998³âºÎÅÍ ¾Ë·ÁÁ® ¿Ô´Ù. ¡°³­¼ö¹ß»ý±â´Â ºí·Ï »çÀÌÆÛ ¾Ïȣȭ(block cipher encryption) ±â¼úÀ» ½Ãµå Å°¿Í ÇÔ²² »ç¿ëÇØ Å¸ÀÓ½ºÅÆÇÁÀÇ »óÅ °ªÀ» ¾÷µ¥ÀÌÆ® ÇÕ´Ï´Ù. ÇÏÁö¸¸ ÀÌ ½Ãµå Å°°¡ °ø°ÝÀÚÀÇ ¼Õ¿¡ µé¾î°¡¸é °ú°Å¿Í ¹Ì·¡ÀÇ ¸ðµç °á°ú¹°ÀÌ À¯ÃâµÈ´Ù´Â Ãë¾àÁ¡ÀÌ ÀÖ½À´Ï´Ù.¡±

±×·¯¹Ç·Î ´ö °ø°ÝÀº X9.31 ³­¼ö¹ß»ý±â¸¦ ±¸ÇöÇßÀ» ¶§ ³ªÅ¸³¯ ¼ö ÀÖ´Â ¡®»óÅ º¹±¸ °ø°Ý(state recovery attack)¡¯À̶ó°í º¼ ¼ö ÀÖ´Ù. ¡°°ø°ÝÀÚ°¡ AES³ª DES Å°¸¦ ¾Ë°í ÀÖ´Ù¸é, °á°ú¹°À» ¾î´À Á¤µµ ºÐ¼®ÇÑ ÈÄ ³­¼ö¹ß»ý±âÀÇ ³»ºÎ »óŸ¦ º¹±¸½Ãų ¼ö ÀÖ°Ô µË´Ï´Ù. ÀÌ·Î½á °ú°Å¿¡ ¹ß»ýÇß´ø ³­¼öµéÀº ¹°·Ð ¹Ì·¡¿¡ »ý¼ºµÉ °Í±îÁöµµ ¾Ë ¼ö ÀÖ°Ô µÇ´Â °Ì´Ï´Ù.¡±

º¸¾È ¾÷ü ºñÆ®µðÆæ´õ(Bitdefender)ÀÇ ¼ö¼® À§Çù ºÐ¼®°¡ÀÎ ¸®ºñ¿ì ¾Æ¸£¼¾(Liviu Arsene)Àº ¡°ÇϵåÄÚµå µÈ Å°µéÀ» ÀͽºÇ÷ÎÀÕÇÏ´Â °¡Àå ÈçÇÑ ¹æ¹ýÀº Æ®·¡ÇÈ ¿³º¸±â Áï, Áß°£ÀÚ °ø°Ý¡±À̶ó°í ¼³¸íÇÑ´Ù. ¡°Å° Á¤º¸¸¦ °®°Ô µÇ´Ï ¡®ºñ¹Ð Åë½ÅÀ» ÇÏ°í ÀÖ´Ù¡¯°í »ý°¢ÇÏ´Â ´ç»çÀÚµé Áß ÇÑ ¸íÀ» »çĪÇÒ ¼ö ÀÖ°Ô µË´Ï´Ù. ±×·¡¼­ ºñ¹Ð Á¤º¸¸¦ ¼ú¼ú ¸»ÇÏ°Ô²û À¯µµÇÒ ¼ö ÀÖÁÒ.¡±

À§ ¼¼ ¿¬±¸¿øµéÀº ¡°¾Ïȣȭ ¼ÒÇÁÆ®¿þ¾î¸¦ °³¹ßÇÏ´Â »ç¶÷µéÀ̶ó¸é X9.31 ³­¼ö¹ß»ý±â¸¦ »ç¿ëÇÏÁö ¸»¾Æ¾ß ÇÑ´Ù¡±°í ¸»ÇÑ´Ù. ¡°ÀÌ¹Ì FIPS(¹Ì±¹ ¿¬¹æ Á¤º¸Ã³¸® ±Ô°Ý)¿¡¼­ ÀÛ³â ÃÊ¿¡ »ç¶óÁø ¾Ë°í¸®ÁòÀÔ´Ï´Ù. ºí·Ï »çÀÌÆÛ¿¡ ±â¹ÝÀ» µÐ ³­¼ö¹ß»ý±â¸¦ ²À ½á¾ß¸¸ ÇÑ´Ù¸é ÇϵåÄÚµåµÈ Å°¸¦ »ç¿ëÇÏÁö ¸¶¼¼¿ä. ±×¸®°í Å°¸¦ ÀÚÁÖ »õ·Î »ý¼ºÇÏ¼Å¾ß ÇÕ´Ï´Ù.¡±

ÃÖÁ¾ »ç¿ëÀÚ¶ó¸é ¾î¶³±î? ¡°¼ÒÇÁÆ®¿þ¾î ¾÷µ¥ÀÌÆ®¸¦ ÀÚÁÖ ÇØ¾ß ÇÕ´Ï´Ù. Æ÷Ƽ³ÝÀ̳ª ´Ù¸¥ ¼ÒÇÁÆ®¿þ¾î °³¹ß ¾÷üµéÀº Ãë¾àÁ¡¿¡ ´ëÇÑ º¸°í¸¦ ¹Þ°í ³ª¸é ¾÷µ¥ÀÌÆ®¸¦ ¹èÆ÷Çϴµ¥¿ä, À̸¦ ÃÖ´ëÇÑ »¡¸® ¼³Ä¡ÇØ¾ß ÇÕ´Ï´Ù. ¸®½ºÅ©¸¦ ÁÙÀÌ´Â È¿°úÀûÀÎ ¹æ¹ýÀÔ´Ï´Ù.¡±

º¸¾È ¾÷ü ½Ã³ñ½Ã½º(Synopsys)ÀÇ ¼Ö·ç¼Ç Ã¥ÀÓÀÚÀÎ ¾Æ´ã ºê¶ó¿î(Adam Brown)Àº ÇØ¿Ü ¸Åü¿ÍÀÇ ÀÎÅͺ並 ÅëÇØ ¡°»ç¿ëÀÚ ±â¾÷À̳ª Àåºñ Á¦Á¶»ç³ª ¸ðµÎ Æß¿þ¾î ½ºÄµ°ú ¾÷µ¥ÀÌÆ®¸¦ ÇØ¾ß ÇÑ´Ù¡±°í ¼³¸íÇÑ´Ù. ¡°»ç¿ëÀÚ ±â¾÷Àº ÀÚ½ÅÀÌ ¼ÒÀ¯ÇÑ Àåºñ°¡ ¾î¶² »óÅ¿¡ ÀÖ´ÂÁö, ¾î¶² Æß¿þ¾î¸¦ »ç¿ëÇÏ´ÂÁö, ±× Æß¿þ¾î³ª Àåºñ¿¡ ¾Ë·ÁÁø Ãë¾àÁ¡ÀÌ ÀÖ´ÂÁö ÆľÇÇÒ ÇÊ¿ä°¡ ÀÖ½À´Ï´Ù. Ãë¾àÁ¡ ½ºÄ³´×ÀÌ ±×¸® ¾î·Á¿î ÀÛ¾÷µµ ¾Æ´Ï°í¿ä. ¸¶Âù°¡Áö·Î Á¦Á¶»çµé ¿ª½Ã ÀڽŵéÀÇ ±âº» Äڵ带 ´Ù½Ã ÇÑ ¹ø °ËÅäÇϸ鼭 X9.31 ³­¼ö¹ß»ý±â°¡ »ç¿ëµÆ´ÂÁö È®ÀÎÇغÁ¾ß°ÚÁÒ.¡±

º¸¾È ¾÷ü ¼¾Æ¼³Ú¿ø(SentinelOne)ÀÇ ¼ö¼® ÄÁ¼³ÅÏÆ®ÀÎ Åä´Ï ·Î¿Ï(Tony Rowan)ÀÇ °æ¿ì, ¡°Å©¸®µ§¼È, ¸¶½ºÅÍ Å°, ½Ãµå °ª µî ¾Ïȣȭ¿Í °ü·ÃµÈ µ¥ÀÌÅÍ°¡ ÇϵåÄÚµå µÈ °æ¿ì°¡ Á¾Á¾ ¹ß»ýÇÑ´Ù¡±¸ç ¡°º¸¾ÈÀ» »óÇ°¼ºÀ¸·Î ³»°Ç Á¦Ç°µéÀ̶ó¸é ÀÌ·± ÀÏÀÌ ¹ß»ýÇÏÁö ¾Êµµ·Ï »çÀü °¨»ç¸¦ ¹ÞÀ» ÇÊ¿äµµ ÀÖ¾î º¸Àδ١±´Â ÀÇ°ßÀÌ´Ù. ¡°°á±¹ ¡®¿¹Àü¿¡ Ç¥ÁØÀ̾ú´ø ¹æ½Ä¡¯À» ±×´ë·Î »ç¿ëÇÏ´Ù°¡ ¹®Á¦°¡ µÈ °æ¿ìÀÔ´Ï´Ù. ¹ß»ýÇÏÁö ¾Ê¾Æµµ µÉ ¸¸ÇÑ ¹®Á¦¿´ÁÒ. °á±¹ »óÇ° °³¹ß °úÁ¤ Áß¿¡ ÃÖÁ¾ °Ë»ç ¹× ½ÇÇè ´Ü°è°¡ ¾ÆÁ÷ Ãë¾àÇÏ´Ù°íµµ º¼ ¼ö ÀÖ½À´Ï´Ù.¡±

´ö °ø°Ý¿¡ ´ëÇÑ ÃÖÃÊ ºí·Î±× Æ÷½ºÆÃÀº ¿©±â¼­ È®ÀÎÀÌ °¡´ÉÇÏ´Ù. º»¹® Áß°£¿¡ »ó¼¼ ±â¼ú ³»¿ëÀÌ µû·Î ¸µÅ© °É·Á Àֱ⵵ ÇÏ´Ù.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 4
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)