Home > 전체기사
보안에 좋다던 HTTPS와 SSL, 오히려 사이버 위협이 되고 있다
  |  입력 : 2020-04-08 17:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
안전한 트래픽의 상징인 HTTPS와 자물쇠 아이콘, 공격자들도 쉽게 따라해
암호화 기술 좋다고 홍보하고 권장하려면 실제 사용 고려한 환경 조성에도 힘써야


[보안뉴스 문가용 기자] SSL 인증서를 공격에 이용하는 사이버 범죄자들이 늘어나고 있다. 브라우저의 주소창에 HTTPS라는 글자와 자물쇠 아이콘이 나오면 안심을 하는 심리를 악용하는 수법이다.

[이미지 = iclickart]


HTTPS는 현재 ‘안전한 트래픽’의 상징처럼 도입되고 있는 중이다. 이미 일반 인터넷 사용자들 중에서도 HTTPS를 알아보고 선호하는 사람들이 늘어나고 있다. 구글이 검색 결과에서 HTTPS를 활용하는 웹사이트를 제일 먼저 노출시키는 등 가장 HTTPS 도입을 강력하게 추진하고 있기도 하다. 크롬과 파이어폭스와 같은 브라우저들은 사용자가 HTTPS가 아닌 곳에 접속할 경우 경고 메시지를 내보내고 있기도 하다.

하지만 사이버 범죄자들이 가짜로 사이트를 만들어 HTTPS라는 글자를 주소창에 띄우는 것이 그리 어려운 일이 아니다. 렛츠인크립트(Let's Encrypt)와 같은 조직들이 무료로 인증서를 배포해주기 때문이다. 피싱 콘텐츠를 호스팅하든 정상적인 콘텐츠를 활용하든 상관없이 HTTPS를 전도하다보니 생기는 일이다.

보안 업체 멘로 시큐리티(Menlo Security)의 CTO인 코우식 구루스와미(Kowsik Guruswamy)는 자사 블로그를 통해 “최근 HTTPS 웹사이트들을 조사한 결과 47.1%에서 취약헌 서버 소프트웨어, 오래된 아파치(Apache), 드루팔(Drupal), 워드프레스(WordPress)가 발견되었다”고 썼다. 뿐만 아니라 41.5%는 분류가 되지 않으며, 10.7%는 피싱용 웹사이트라는 것도 발견됐다고 한다.

또한 브라우저가 아닌 다른 곳에서 발생하는 트래픽의 67%는 SSL로부터 발현하는 것으로 나타났다. 이런 트래픽은 주로 엔드포인트의 에이전트들이 업데이트를 다운로드 받기 위해 생성하는 것이다. 문제는 SSL 트래픽을 검사하는 과정이 사실상 없는 것과 마찬가지라는 것이다. 구루스와미는 “피싱 링크나 드라이브 바이 다운로드를 SSL에 호스팅 하면 아무도 검사하지 않기 때문에 공격을 쉽게 성공시킬 수 있다”고 말할 정도다.

그렇다면 왜 SSL 검사를 하지 않는 걸까? 구루스와미는 “프라이버시 문제 때문”이라고 말한다. SSL 트래픽의 내용물을 검사하는 것이 사생활 침해로 이어질까봐 할 수 없는 것이다. “네트워크 속도 향상을 위해 SSL 검사를 회피하기도 합니다. SSL을 복호화 하기 시작하면 방화벽과 온프레미스 프록시들이 4~5배 정도 느려지는 게 흔한 일이기 때문이죠. SSL 검사를 하지 않으면 장비를 4~5배 더 돌릴 수 있다는 뜻도 됩니다.”

결국 생산성을 포기할 수 없기 때문에 SSL 트래픽을 검사하지 않는다는 것. “SSL이 트래픽을 암호화 해주기 때문에 정보 보호에 도움이 된다고 적극 권장해왔지만, 필요한 때 복호화 하는 기술은 그만큼 발전하지 않았습니다. 그래서 복호화가 SSL만큼 확산되지 않고 있는 것이죠.”

구루스와미는 “암호화 기술은 정보 보안의 기본 구성 요소이고, HTTPS와 SSL과 같은 장치가 보안에 도움이 되는 것은 확실한 것이지만, 이를 실제로 활용할 수 있는 환경을 갖추는 것도 중요하다”고 강조했다.

“한쪽에서는 HTTPS가 좋으니 널리 쓰자고 하고, 다른 한쪽에서는 프라이버시가 중요하다고 강조하니 HTTPS 안쪽을 들여다 볼 방법은 효과적으로 개발되지 않고 있지요. SSL이 안전하다고 하지만 복호화를 위한 환경은 채 갖춰지지 않고 있고요. 그러니 암호화 기술이 오히려 공격자들의 도구가 되고 있는 겁니다. 하나의 기술이 갖는 복합적인 영향력을 고려해 실제 사용을 권장하고 보편화시켜야 합니다. 기술 하나하나에 너무 의존해서는 불균형 문제가 생기고, 그 불균형은 반드시 악용됩니다.”

3줄 요약
1. 암호화 트래픽인 HTTPS와 SSL, 공격자들이 악용하는 사례 늘어나고 있음.
2. HTTPS 트래픽의 10%가 피싱, 40% 이상이 ‘정체 알 수 없음’으로 분류됨.
3. SSL 트래픽도 검사 장치가 사실상 없기 때문에 피싱과 드라이브 바이 다운로드 공격에 활용될 가능성 높음.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)