TLS 1.3 »ç¿ëÇϸé ÇØ°á... »ç¾÷»ó TLS 1.2 À¯ÁöÇØ¾ß ÇÏ´Â ±â¾÷µé, ¡°³ª¸§ ÇØ°á Áß¡±
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] SSL 3.0 ¾ÏÈ£È ÇÁ·ÎÅäÄÝ¿¡¼ 5³â Àü¿¡ ¹ß°ßµÇ°í ÆÐÄ¡µÈ ¼³°è ¿À·ùÀΠǪµé(POODLE)À» ±â¾ïÇϴ°¡? ±×·±µ¥ ÀÌ ÇªµéÀ» È°¿ëÇÑ °ø°ÝÀÇ °¡´É¼ºÀº ¾ÆÁ÷ ¿ÏÀüÈ÷ »ç¶óÁöÁö ¾Ê¾Ò´Ù. SSLº¸´Ù ³ªÁß¿¡ µîÀåÇÑ TLS 1.2 ÇÁ·ÎÅäÄÝ¿¡¼ Ǫµé°ú °ü°èÀÖ´Â Ãë¾àÁ¡ µÎ °³°¡ »õ·Ó°Ô ¹ß°ßµÈ °ÍÀÌ´Ù.
[À̹ÌÁö = iclickart]
ÀÌ Ãë¾àÁ¡µéÀ» Á¦ÀÏ ¸ÕÀú ã¾Æ³½ °Ç º¸¾È ¾÷ü Æ®¸³¿ÍÀ̾î(Tripwire)ÀÇ Ãë¾àÁ¡ ¿¬±¸ Á¶»ç¿øÀÎ Å©·¹ÀÌ±× ¿µ(Craig Young)À¸·Î, ¡°TLS 1.2¿¡¼ Ǫµé°ú ºñ½ÁÇÑ °ø°ÝÀ» ÇÒ ¼ö ÀÖ°Ô ÇØÁÖ´Â Ãë¾àÁ¡À» ¹ß°ßÇß°í, ±× ±Ù¿øÀº Áö³ªÄ¡°Ô ¿À·¡µÈ ¾ÏÈ£È ±â¹ýÀÎ CBC(cipher blocking chaining)¸¦ TLS 1.2°¡ °è¼ÓÇؼ Áö¿øÇÑ´Ù´Â °Í¡±À̶ó°í ¹ßÇ¥Çß´Ù. ÀÌ Ãë¾àÁ¡µéÀ» ³²¿ëÇÒ °æ¿ì ÇÇÇØÀÚÀÇ ¾ÏÈ£ÈµÈ À¥ ¹× VPN ¼¼¼Ç¿¡ Áß°£ÀÚ °ø°ÝÀ» °¨ÇàÇÒ ¼ö ÀÖ°Ô µÈ´Ù.
¡°¶ÇÇÑ Ã¹ ¹ø° Ǫµé ¹®Á¦¸¦ Á¦´ë·Î ÇØ°áÇÏÁö ¾ÊÀº Á¦Ç°µéµµ ¸¹½À´Ï´Ù.¡± »ç½Ç ±× Àڽŵµ ¿ø·¡ÀÇ Çªµé °ø°Ý¿¡ ´ëÇØ Á¦´ë·Î µÈ ´ëºñ¸¦ ÇÏÁö ¾Ê°í ÀÖ´Â ¸éÀ» Á¶»çÇÏ´Ù°¡ TLS¿¡¼ Ãë¾àÁ¡À» ¹ß°ßÇÑ °ÍÀ̶ó°í ÇÑ´Ù.
ÀÌ Ãë¾àÁ¡ ¶§¹®¿¡ ¿µÇâÀ» ¹Þ´Â ±â¾÷ Áß Çϳª°¡ ½ÃÆ®¸¯½º(Citrix)´Ù. Á¤È®È÷ ¸»ÇÏ¸é ½ÃÆ®¸¯½º°¡ ÆǸÅÇÏ°í ÀÖ´Â ¾ÖÇø®ÄÉÀÌ¼Ç Àü¼Û Á¦¾î±â(Application Delivery Controller, ADC)¿¡¼ Ãë¾àÁ¡ÀÌ ¹ß°ßµÇ°í ÀÖ´Ù. Ãë¾àÁ¡Àº CVE-2019-6485·Î, ½ÃÆ®¸¯½º´Â ÆÐÄ¡µµ ÀÌ¹Ì °³¹ßÇØ ¹èÆ÷Çϱ⠽ÃÀÛÇß´Ù. ±× ¿Ü ¾÷üµé¿¡ ´ëÇؼ ¿µÀº ¾ÆÁ÷ °ø°³ÇÏÁö ¾Ê°í ÀÖ´Ù. ´Ù¸¸ À¥ ¾Û ¹æȺ®, ·Îµå ¹ë·±¼, ¿ø°Ý Á¢±Ù SSL VPN °ü·Ã Á¦Ç°ÀÇ Á¦Á¶»çµéÀÌ Æ÷ÇԵǾî ÀÖ´Ù°í ÇÑ´Ù.
¿µÀº ÀÌ Ãë¾àÁ¡ µÎ °³¿¡ À̸§À» ºÙ¿´´Ù. Çϳª´Â Á»ºñ Ǫµé(Zombie POODLE)ÀÌ°í ´Ù¸¥ Çϳª´Â °ñµçµÎµé(GOLDENDOODLE)ÀÌ´Ù. Á»ºñ Ǫµé Ãë¾àÁ¡À» ÅëÇؼ´Â ½ÃÆ®¸¯½ºÀÇ ·Îµå ¹ë·±¼¸¦ ÅëÇØ Çªµé °ø°ÝÀ» ¿¹Àü ±×´ë·Î ½ÇÇàÇÒ ¼ö ÀÖ¾ú´Ù. ƯÈ÷ Ǫµé °ø°Ý¿¡¼ ¹®Á¦°¡ µÆ´ø ¿¹Àü ¾ÏÈ£È ÇÁ·ÎÅäÄÝÀ» ¿ÏÀüÈ÷ ¾ø¾ÖÁö ¾ÊÀº ½Ã½ºÅÛ¿¡¼ °ø°Ý ¼º°ø·üÀÌ ³ô¾Ò´Ù.
°ñµçµÎµéÀº Ǫµé °ø°Ý°ú ºñ½ÁÇÏ°Ô ÀͽºÇ÷ÎÀÕÀÌ °¡´ÉÇÏÁö¸¸, ´õ °·ÂÇÏ°í ºü¸¥ °ø°ÝÀ» °¡´ÉÇÏ°Ô ÇÑ´Ù. Á»ºñ Ǫµé°ú ´Þ¸®, ¿À¸®Áö³Î Ǫµé Ãë¾àÁ¡À» ÀüºÎ Á¦°ÅÇصµ(Áï, ÆÐÄ¡¸¦ Çصµ) °ñµçµÎµé °ø°ÝÀÌ °¡´ÉÇÏ´Ù°í ¿µÀº °æ°íÇß´Ù. ¡°¾Ë·º»ç ±âÁØ Å¾ 100¸¸ À¥»çÀÌÆ® Áß 2000¿© °³°¡ Á»ºñ Ǫµé °ø°Ý¿¡ Ãë¾àÇÕ´Ï´Ù. 1000¿© °³´Â °ñµçµÎµé¿¡ Ãë¾àÇÏ°í¿ä. 5³â Àü¿¡ ³ª¿Â ¿À¸®Áö³Î Ǫµé Ãë¾àÁ¡À» °¡Áö°í ÀÖ´Â À¥»çÀÌÆ®µµ ¼ö¹é °³³ª µÇ¾ú½À´Ï´Ù.¡±
°á±¹ ¼Ò±Ô¸ð Á¶Á÷ÀÇ ¾û¼ºÇÑ À¥»çÀÌÆ®µé¸¸ Ãë¾àÇÑ °Ô ¾Æ´Ï¶ó´Â °ÍÀÌ´Ù. ¡°¿ÀÈ÷·Á À¥»çÀÌÆ®¸¦ °øµé¿© ¸¸µé°í ¿Â¶óÀÎ È°µ¿¿¡ »ó´çÇÑ ÅõÀÚ¸¦ Çϴ ȸ»çµéµµ ²Ï³ª Ãë¾àÇÑ µí º¸¿´½À´Ï´Ù. Á¤ºÎ ±â°üÀ̳ª ¹Î°£ ±â¾÷À̳ª ±¸ºÐÀÌ ¾øÀÌ ¸»ÀÌÁÒ. ½ÉÁö¾î º¸¾ÈÀÌ Æ°Æ°ÇÏ´Ù´Â ±ÝÀ¶ ±â°üµéÀ̶ó°í Çؼ ´Ù ¾ÈÀüÇÑ °Ç ¾Æ´Ï´õ±º¿ä.¡±
¿µÀº ¡°ÀÌ¹Ì 4~5³â Àü¿¡ »ç¶óÁ³¾î¾ß ÇÒ ¹®Á¦¡±¶ó°í °Á¶ÇÑ´Ù. °ñµçµÎµéÀº ±×·¸´Ù Ãĵµ, Ǫµé°ú Á»ºñ ǪµéÀº °ú°Å¿¡ ³ª¿Â ÆÐÄ¡¸¸ Á¦´ë·Î Àû¿ëÇϰųª, ¿À·¡µÇ°í ºÒ¾ÈÇÑ ¾ÏÈ£È ¾Ë°í¸®ÁòÀ» Á¦°ÅÇϱ⸸ Ç߾ ÇöÁ¸ÇÒ ¼ö ¾ø´Ù´Â °ÍÀÌ´Ù. ¡°½ÃÆ®¸¯½º°¡ ÁÁÀº ¿¹ÀÔ´Ï´Ù. ¿À¸®Áö³Î Ǫµé¿¡ ´ëÇÑ Á¶Ä¡¸¦ ÀüºÎ ÃëÇÏÁö ¾Ê¾Ò¾î¿ä. ±×·¡¼ ¿À¸®Áö³Î ǪµéÀº ¹°·Ð Á»ºñ Ǫµé µî¿¡µµ Ãë¾àÇÑ Ã¤ ¿©Å±îÁö ¿Ô´ø °ÍÀÔ´Ï´Ù.¡±
ÀÌ Ãë¾àÁ¡µéÀÇ ÇÙ½É ¹®Á¦´Â HTTPSÀÇ ±Ù°£ÀÌ µÇ´Â ÇÁ·ÎÅäÄÝÀÌ´Ù. ¿¹Àü¿¡´Â SSL, ÇöÀç´Â TLS¸¦ ¸»ÇÑ´Ù. ÀÌ ÇÁ·ÎÅäÄÝ¿¡¼ ¿À·¡µÈ ¾ÏÈ£È ±â¼úÀÌ ¿ÏÀüÈ÷ Á¦°ÅµÇ¾î¾ß Çϴµ¥ ±×·¸Áö ¾ÊÀº °æ¿ì°¡ ¹®Á¦°¡ µÈ´Ù´Â °ÍÀÌ´Ù. ¡°¿À·¡µÈ ºê¶ó¿ìÀú³ª Ŭ¶óÀ̾ðÆ® ±â°èµé¿¡ ´ëÇÑ È£È¯ ¹®Á¦ ¶§¹®¿¡ ÀÌ ±â¼úÀ» À¯ÁöÇÏ´Â °æ¿ì°¡ ¸¹½À´Ï´Ù. ¿¹Àü °ÍÀ» ¹ö¸®Áö ¸øÇÏ´Ù°¡ ½º½º·Î ±¸¸ÛÀ» ¿¾îµÎ´Â °ÝÀÌÁÒ.¡±
Á»ºñ ǪµéÀ̳ª °ñµçµÎµé °ø°Ý ¸ðµÎ ±× °á°ú´Â ¿À¸®Áö³Î Ǫµé°ú ºñ½ÁÇÏ´Ù. °ø°ÝÀÚ°¡ ¾ÏÈ£ÈµÈ µ¥ÀÌÅÍ ºí·ÏµéÀ» Àç¹è¿ ÇÏ°í, ºÎä³ÎÀ» ÅëÇØ Á¤º¸¸¦ µé¿©´Ùº¼ ¼ö ÀÖ°Ô µÈ´Ù. ±×°Íµµ Æò¹® »óÅ·Π¸»ÀÌ´Ù. ¿µÀº °ø°Ý °úÁ¤¿¡ ´ëÇØ ´ÙÀ½°ú °°ÀÌ ¼³¸íÇÑ´Ù.
¡°°ø°ÝÀÚ°¡ ¾Ç¼º ÀÚ¹Ù½ºÅ©¸³Æ®¸¦ ÇÇÇØÀÚÀÇ ºê¶ó¿ìÀú¿¡ »ðÀÔÇÕ´Ï´Ù. ÀÌ ¶§ »ç¿ëµÇ´Â °ÍÀº ÇÇÇØÀÚ°¡ ¹æ¹®ÇÏ´Â À¥»çÀÌÆ®·Î, °ø°ÝÀÚ°¡ ¹Ì¸® ÀÌ »çÀÌÆ®¿¡ Äڵ带 ½É¾îµÓ´Ï´Ù. ±× ¿Ü¿¡µµ °¨¿°½ÃÅ°´Â ¹æ¹ýÀº ¿©·¯ °¡Áö°¡ ÀÖ½À´Ï´Ù. ±× ´ÙÀ½ °ø°ÝÀÚ´Â Áß°£ÀÚ °ø°ÝÀ» ½Ç½ÃÇÒ ¼ö ÀÖ°Ô µÇ°í, À̸¦ ÅëÇØ ÇÇÇØÀÚÀÇ ÄíÅ°¿Í Å©¸®µ§¼ÈÀ» °¡Á®°¥ ¼ö ÀÖ°Ô µË´Ï´Ù.¡±
ÇÏÁö¸¸ Á»ºñ ǪµéÀ̳ª °ñµçµÎµé, ¿À¸®Áö³Î Ǫµé °ø°ÝÀÌ ±×¸® ½¬¿î °Ç ¾Æ´Ï´Ù. ¼º°øÇÏ·Á¸é °ø°ÝÀÚ°¡ ¹Ýµå½Ã ÇÇÇØÀÚÀÇ ³×Æ®¿öÅ©¿¡¼ Áß°£ÀÚ °ø°ÝÀ» ½ÇÇàÇϰųª °°Àº ¿ÍÀÌÆÄÀÌ ¸Á¿¡ Á¢¼ÓÇØ¾ß Çϱ⠶§¹®ÀÌ´Ù. Áï °ø°ÝÀÌ ¾î´À Á¤µµ´Â ¡®Ç¥ÀûÇü¡¯ÀÇ Æ¯¼ºÀÇ ¶ç¾î¾ß ÇÑ´Ù´Â ¼Ò¸®´Ù. ¡°°ø°Ý ´ë»ó¿¡ ´ëÇØ ¸¹Àº Á¶»ç¸¦ Çؾ߸¸ ÇÕ´Ï´Ù. ±× °úÁ¤ÀÌ ÀÏ¹Ý ÇØÄ¿µé¿¡°Ô´Â ½±Áö ¾Ê½À´Ï´Ù.¡± ±×·¯³ª ¹æ¾îÀڵ鿡°Ôµµ ±î´Ù·Î¿î °ø°ÝÀÌ´Ù. ŽÁö°¡ ½±Áö ¾Ê±â ¶§¹®ÀÌ´Ù. ¡°¼¹öµéÀº ÀÌ·± À¯ÇüÀÇ Çൿ ÆÐÅÏÀ» ·Î±ëÇÏÁö ¾Ê´Â °Ô º¸ÅëÀÔ´Ï´Ù.¡±
±×·¸´Ù¸é ÇØ°áÃ¥Àº ¹«¾ùÀϱî? °¡Àå È¿°úÀûÀÌ°í ¾ÈÁ¤ÀûÀÎ °Ç TLS 1.3 üÁ¦·Î º¯È¯ÇÏ´Â °ÍÀ̶ó°í ¿µÀº ¼³¸íÇÑ´Ù. ¡°TLS 1.3Àº ¿À·¡µÈ ¾ÏÈ£È ±â¼úµéÀÌ Æ÷ÇԵǾî ÀÖÁö ¾Ê½À´Ï´Ù. ±×·¯¹Ç·Î ǪµéÀ̳ª Á»ºñ Ǫµé °ø°ÝÀº TLS 1.3 üÁ¦ ¾Æ·¡¼ ¼º°øÇÒ ¼ö ¾ø°Ô µË´Ï´Ù.¡± ÇöÀç ¸¹Àº ºê¶ó¿ìÀúµéÀ̳ª ³×Æ®¿öÅ© ÀåºñµéÀÌ TLS 1.3À» Áö¿øÇÏ°í ÀÖÁö¸¸, ±×·¸Áö ¾ÊÀº °Íµµ ±× ¼ýÀÚ°¡ Á¦¹ý µÈ´Ù. ÀÌ»ó Çö»óÀÌ ¹ß»ýÇÒ±îºÁ Á¶±Ý ´õ ±â´Ù·Áº¸´Â °ÍÀÌ´Ù.
¡°½ÇÁ¦·Î TLS 1.2¸¦ ¹ö¸®Áö ¸øÇÏ´Â ÀÌÀ¯¸¦ °¡Áø Á¶Á÷µéÀÌ ¸¹ÀÌ Á¸ÀçÇÕ´Ï´Ù. À̵鿡°Ô TLS 1.3Àº Àå±âÀû ¸ñÇ¥Áö, °ð¹Ù·Î ½ÃÇàÇÒ ¼ö ÀÖ´Â ÇØ°áÃ¥ÀÌ µÇÁö´Â ¸øÇÕ´Ï´Ù. À̹ø ¿¬±¸¸¦ ÅëÇØ TLS 1.2¸¦ À¯ÁöÇÏ°í ÀÖ´Â ¾÷üµé ¸î °÷¿¡ ¿¬¶ôÀ» ÃëÇغýÀ´Ï´Ù. ±×·±µ¥ ¸î¸î Á¶Á÷µéÀº ¡®ÇØ´ç ¹®Á¦¸¦ ÀÌ¹Ì ¾Ë°í ÀÖ´Ù¡¯°í ¸»ÇÏ´õ±º¿ä. ±×¸®°í ¡®³ª¸§ÀÇ ´ëÃ¥À» »ç¿ëÇØ ¿À·¡µÈ ¾ÏÈ£È ±â¼úÀ» À¯ÁöÇϸ鼵µ Ǫµé °ø°ÝÀ» ¸·°í ÀÖ´Ù¡¯°í ÁÖÀåÇß½À´Ï´Ù. ÇÏÁö¸¸ À̵éÀÌ »ç¿ëÇÏ´Â ´ëÃ¥À̶ó´Â °Ô ¹ºÁö´Â Àß ¸ð¸£°Ú½À´Ï´Ù.¡±
Å©·¹ÀÌ±× ¿µÀº ¾ó¸¶ ÈÄ ¿¸± ¡®ºí·¢ÇÞ ¾Æ½Ã¾Æ¡¯¿¡¼ Á»ºñ Ǫµé°ú °ñµçµÎµé °ø°Ý¿¡ ´ëÇØ º¸´Ù »ó¼¼ÇÑ ¿¬±¸ °á°ú¸¦ ¹ßÇ¥ÇÒ ¿¹Á¤ÀÌ´Ù. µ¿½Ã¿¡ º¸¾È Àü¹®°¡µé°ú »ç¿ëÀÚ Á¶Á÷µéÀÌ ¾µ ¼ö ÀÖ´Â ½ºÄ³´× Åøµµ ¹èÆ÷ÇÒ °ÍÀ̶ó°í ÇÑ´Ù. ¹°·Ð Á»Áö Ǫµé°ú °ñµçµÎµé¿¡ ´ëÇÑ Ãë¾àÁ¡À» ã¾ÆÁÖ´Â ÅøÀÌ´Ù.
3ÁÙ ¿ä¾à
1. 5³â Àü¿¡ ¹ß°ßµÈ Ǫµé Ãë¾àÁ¡, ¿©ÀüÈ÷ Á¸ÀçÇÑ´Ù. ¿À·¡µÈ ¹®Á¦, ÇØ°áÇÏÁö ¾Ê±â ¶§¹®.
2. ±×·±µ¥ Ǫµé°ú ºñ½ÁÇÑ »õ·Î¿î Ãë¾àÁ¡ÀÌ µÎ °³³ª ´õ ÀÖ´Ù. Á»ºñ Ǫµé°ú °ñµçµÎµé.
3. ¸ðµÎ ¿À·¡µÈ ¾ÏÈ£È ±â¼ú¿¡¼ ºñ·ÔµÈ °ÍÀ¸·Î, TLS 1.3 »ç¿ëÇϸé ÇØ°áÇÒ ¼ö ÀÖ´Ù.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>