자신이 보낸 메일을 누군가가 훔쳐본다면 얼마나 섬뜩할까. 최근 보안업계에 의하면 모바일 디바이스의 데이터를 빼내기 위한 스니핑(가로채기)이 증가하는 추세다.

단말에 대한 보안은 1차적으로 사용자에게 있지만, 서비스 상 보안문제가 있다면 이에 대한 책임은 당연히 서비스 업체에서 져야한다.

국내외 인터넷서비스 업체(ISP)들이 웹브라우저와 서버간의 안전한 트랜잭션을 위해 ‘보안접속(SSL, Secure Sockets Layer)’을 강화하고 나서는 모양새다.

특히 구글의 경우는 자난 19일 자사의 웹브라우저인 구글 크롬 옴니바(주소창 겸 검색창)에도 SSL 암호화를 적용할 계획이라 밝혀 주목을 받고 있다.

SSL암호화는 웹브라우저와 서버간 데이터를 안전하게 주고받기 위한 표준 프로토콜이다. 네츠케이프가 개발했으며 모든 웹브라우저 개발업체들이 이를 사용하고 있다.

SSL암호화 적용시킨 웹사이트에 접속하면 웹브라우저는 해당 페이지를 HTTP가 아닌 HTTPS로 접근한다. HTTPS는 SSL 서브 계층에서 사용자 페이지 요청을 암호화, 복호화하는 프로토콜이다. 패킷이 암호화 돼 있기 때문에 일반적으로 보안이 강하다고 인식하고 있어도 좋다.

(다만, HTTPS는 웹브라우저와 서버간의 전송되는 패킷만 암호화하기 때문에 해당 정보가 암호화구간을 벗어나면 바로 복호화되기 때문에 100% 안전하다고 보긴 힘들다.)
 
미국 페이팔이나 구글은 사이트 전체에 SSL암호화를 적용했다. 페이스북이나 트위터는 사용자의 필요에 따라 이를 적용할 수 있도록 했다. 과거 페이스북은 사용자가 로그인시에만 HTTPS를 사용했으나, 마크 저커버그 최고경영자의 강력한 추진력으로 전 영역에 SSL암호화를 적용했다.

반면 국내 네이버를 제외한 포털들은 로그인시에만 SSL암호화를 적용하고 있다. 정보통신망법 상으로 문제가 없지만, 보안에 취약한 상황이라는 것은 분명하다.

이는 포털사들의 메일서비스에도 그대로 적용된다. SSL암호화를 통해 로그인 정보는 보호받을 수 있지만 이메일을 확인하거나 쓰는 동안 동일한 네트워크의 다른 사용자가 이를 손쉽게 가로챌 수 있다.

이는 최근 모바일 디바이스가 많아짐에 따라 문제가 심각해지고 있다.

스마트폰 보급률이 높아지면서 공짜 AP(액세스포인트)도 급격하게 증가했다. 스마트폰이나 노트북을 공짜 AP에 접속시켜 사용하는 사람도 많아졌다. 그러나 해커들이 공짜 AP에 접속한 사용자들의 정보를 탈취할 수 있다는 사실을 아는 사람은 많지 않다.

예를 들어보자. A는 ‘freeap’라는 AP에 접속해 모바일 다음으로 들어갔다. A는 다음 메일 서비스를 사용해 지인에게 메일을 보냈다. ‘freeap’에는 사용자들의 정보탈취를 목적으로 한 해커도 접속해 있었다. ‘freeap’의 패킷을 감청하고 있던 해커는 특정 주소에서 발송되는 메시지(메일)을 포착했고 이를 빼돌릴 수 있게 됐다.

사용자 디바이스 내부 데이터를 탈취한다는 의미는 아니다. SSL암호화가 적용되지 않은 서비스(앱도 포함)와 서버간의 메시지를 탈취한다는 의미다. 이러한 이유로 구글, 야후는 메일서비스 전체에 SSL암호화를 적용했다.

개인정보유출문제로 뒤숭숭한 상황에 국내 인터넷서비스 업체들의 SSL암호화는 이제 선택이 아닌 필수가 아닐까 생각해본다.


2013/01/22 15:10 2013/01/22 15:10
TAG ,

[IT전문 미디어 블로그=딜라이트닷넷]

지난해 SK커뮤니케이션즈 해킹사태 이후 많은 인터넷서비스업체들은 보안강화를 위해 SSL암호화를 도입하고 있는 추세다.

SSL암호화는 웹브라우저와 서버간 데이터를 안전하게 주고받기 위한 표준 프로토콜이다. 네츠케이프가 개발했으며 모든 웹브라우저 개발업체들이 이를 사용하고 있다.

SSL암호화를 웹에 적용시키면 HTTPS로 귀결된다. HTTPS는 SSL 서브 계층에서 사용자 페이지 요청을 암호화, 복호화하는 프로토콜이다.

‘HTTPS’로 접속되는 사이트들은 모두 SSL암호화를 사용하고 있다고 보면 된다. HTTPS는 데이터를 전달할 때 공개키와 비밀키에 기반한 암호화/복호화 과정이 있어 데이터를 주고받을 때 안전하다.

미국 페이팔이나 구글은 사이트전체에 SSL암호화를 적용했다. 페이스북이나 트위터는 사용자의 필요에 따라 이를 적용할 수 있도록 했다.

반면 국내 주요 포털들은 로그인시에만 SSL암호화를 사용하고 있다. 사용자의 아이디와 패스워드 탈취만은 막겠다는 의도다. SSL암호화를 아예 적용하지 않은 사이트도 부기지수다.

과거 페이스북은 사용자가 로그인시에만 HTTPS를 사용했다.


그러나 마크 저커버그 페이스북 최고경영자는 “로그인시에만 HTTPS를 적용하는 것은 매우 위험한 생각이다. HTTPS이 미적용된 상황에선 로그인 후 페이스북을 사용하면서 주고받는 메시지를 탈취당할 수 있기 때문이다”라고 말하며 전 영역에 SSL암호화를 적용했다.

이는 포털사들의 메일서비스에도 그대로 적용된다. SSL암호화를 통해 로그인 정보는 보호받을 수 있지만 이메일을 확인하거나 쓰는 동안 동일한 네트워크의 다른 사용자가 이를 손쉽게 가로챌 수 있기 때문이다.

문제는 이것이 모바일에도 그대로 적용된다는 것이다.

스마트폰 보급률이 높아지면서 공짜 AP(액세스포인트)도 급격하게 증가했다. 스마트폰이나 노트북을 공짜 AP에 접속시켜 사용하는 사람도 많아졌다. 그러나 해커들이 공짜 AP에 접속한 사용자들의 정보를 탈취할 수 있다는 사실을 아는 사람은 많지 않다.

예를 들어보자.

A는 ‘freeap’라는 AP에 접속해 모바일 네이버로 들어갔다. A는 네이버 메일 서비스를 사용해 지인에게 메일을 보냈다. ‘freeap’에는 사용자들의 정보탈취를 목적으로 한 해커도 접속해 있었다. ‘freeap’의 패킷을 감청하고 있던 해커는 특정 주소에서 발송되는 메시지(메일)을 포착했고 이를 빼돌릴 수 있게 됐다.

사용자 디바이스 내부 데이터를 탈취한다는 의미는 아니다. SSL암호화가 적용되지 않은 서비스(앱도 포함)와 서버간의 메시지를 탈취한다는 의미다. 이러한 이유로 구글, 야후는 메일서비스 전체에 SSL암호화를 적용했다.

이러한 우려를 인지했는지 네이버, 다음, 네이트와 같은 국내 포털업체들도 메일서비스에 SSL암호화를 도입할 준비를 하고 있다고 한다.


개인정보유출문제로 뒤숭숭한 상황에 국내 인터넷서비스 업체들의 SSL암호화는 이제 선택이 아닌 필수가 아닐까?


2012/05/11 08:08 2012/05/11 08:08


네이버, 다음 등과 같은 포털사이트를 자주 방문하시는 분들은 로그인 폼 옆에 있는 ‘보안2단계’라는 글귀를 보신 적이 있으실겁니다.

포털들은 기본적으로 사용자가 로그인할 때 ‘보안2단계’를 권장합니다.

 

보안2단계는 플래시와 암호화 기술을 통해 브라우저 내부의 악성코드로부터 개인정보를 스니핑하는 것을 막아주는 기능을 갖추고 있죠.

 

사실 일반 사용자들에게는 이 정도의 설명만으로도 충분합니다. 여기서 더 깊이 들어간다면 전산학에 대한 지식이 필요하기 때문입니다.

보안2단계의 프로세스는 플래시의 RSA 공개키(PKI) 연산을 사용합니다. RSA 공개키 연산은 암호방식을 가진 암호키와 암호를 해독하는 복호키 중에서 암호키를 외부에 공개하고, 복호키는 포털 서버에 놓고 사용자가 암호키를 입력하면 로그인이 되는 방식입니다.

브라우저에 심어져 있는 악성코드가 사용자의 정보 입력을 스니핑하더라도 이미 암호화가 된 키이기 때문에 쓸모가 없어진다는 것입니다.

(스니핑은 로그인 버튼을 눌러 입력된 정보를 포털의 로그인 서버로 전송했을 때 주로 이뤄집니다. 비밀번호로 ‘1234’를 입력하고 로그인을 시도하면 aSx1 이라는 식으로 암호화돼 전송된다는 의미입니다. 로그인서버는 aSx1 이라는 비밀번호를 1234 로 다시 복호화해 로그인합니다)

다만, 보안2단계를 사용하기 위해서는 플래시플레이어가 필요합니다. 이는 플래시플레이어를 지원하지 않는 브라우저(일부 모바일브라우저)에서는 사용할 수 없다는 의미입니다.

 

보안1단계는 SSL(Secure Socket Layer) 기능을 포함해 좀 더 향상된 보안기능을 갖춘 로그인 방식입니다. SSL 방식이 완벽하다고 볼 수는 없지만 해외 은행들은 SSL만으로도 로그인보안을 구축하고 있으니 믿을 수 있습니다.

보안3단계 방식은 액티브엑스(Active-X)를 사용한 방식입니다. 보안2단계에서 사용하는 RSA 공개키 연산을 포함해 키보드보안 솔루션을 추가로 설치합니다.

네이버와 네이트에서 사용하고 있는 키보드보안 솔루션은 소프트포럼의 ‘터치앤키(Touchen Key)’입니다. 다음에서는 개인방화벽 솔루션으로 안철수연구소의 ‘안랩 온라인 시큐리티(Ahnlab Online Security, AOS)’를 사용합니다.
 
키보드보안 솔루션은 포트레벨, 서브클래싱에서의 키로깅(키 입력 스니핑)을 방지하는 기능을 갖추고 있습니다. 애초에 브라우저 로그인 폼에 입력되는 키 값을 알아내지 못하도록 막는 다는 개념입니다. AOS는 개인방화벽의 기능을 갖추고 있습니다.

이 보안로그인 방식은 원천적으로 키 스니핑을 막는다는 점에서는 뛰어나다고 볼 수 있으나 액티브엑스를 사용하기 때문에 인터넷익스플로러에서만 구동이 가능하다는 점은 단점으로 지적되고 있습니다.

IP보안은 접속한 PC의 IP 주소정보를 활용해 로그인 자체를 막는 관리서비스입니다. 이는 고정IP를 사용하는 사람이라면 부담없이 사용할 수 있습니다.

다만 유동IP를 사용하는 사람이라면 다소 시행착오를 겪을 수 있는데요, 일부 인터넷서비스업체(ISP)들은 사용자 PC의 IP주소를 부팅할 때마다 새롭게 갱신해서 보내주기 때문에 IP가 매번 달라지기 때문입니다.

이를 위해 포털들은 IP가 동일하지 않더라도 IP보안 서비스를 사용할 수 있도록 조치를 취하고 있습니다. 가령 최근 로그인한 IP주소들과 일정범위안에 있을 때만 로그인이 가능하도록 한다거나, 아니면 아예 일치를 해야 로그인을 할 수 있도록 했습니다.

지금까지 포털들의 보안로그인 기술과 기능에 대해 설명했습니다. 다들 알다시피 보안이라는 것은 높은 수준을 요구하면 그만큼 사용자가 피곤해집니다.

보안3단계를 사용하기 위해서는 인터넷익스플로러를 사용해야하고, 키보드보안 솔루션도 새로 설치해야하고, PC IP가 유동인지 고정인지도 알아야합니다.

그러나 보안에서만큼은 과유불급이라는 말이 적용되지는 않는 듯 합니다. 사용자가 귀찮을수록 자신의 정보를 지키기 수월하니까요.

자신에게 적합한 보안단계를 설정해 안전한 웹을 즐기시길 바랍니다.

2011/12/07 09:33 2011/12/07 09:33