'ev-ssl'에 해당되는 글 1

  1. 2012/05/11 SSL암호화, 이제는 대중화가 필요하다

[IT전문 미디어 블로그=딜라이트닷넷]

지난해 SK커뮤니케이션즈 해킹사태 이후 많은 인터넷서비스업체들은 보안강화를 위해 SSL암호화를 도입하고 있는 추세다.

SSL암호화는 웹브라우저와 서버간 데이터를 안전하게 주고받기 위한 표준 프로토콜이다. 네츠케이프가 개발했으며 모든 웹브라우저 개발업체들이 이를 사용하고 있다.

SSL암호화를 웹에 적용시키면 HTTPS로 귀결된다. HTTPS는 SSL 서브 계층에서 사용자 페이지 요청을 암호화, 복호화하는 프로토콜이다.

‘HTTPS’로 접속되는 사이트들은 모두 SSL암호화를 사용하고 있다고 보면 된다. HTTPS는 데이터를 전달할 때 공개키와 비밀키에 기반한 암호화/복호화 과정이 있어 데이터를 주고받을 때 안전하다.

미국 페이팔이나 구글은 사이트전체에 SSL암호화를 적용했다. 페이스북이나 트위터는 사용자의 필요에 따라 이를 적용할 수 있도록 했다.

반면 국내 주요 포털들은 로그인시에만 SSL암호화를 사용하고 있다. 사용자의 아이디와 패스워드 탈취만은 막겠다는 의도다. SSL암호화를 아예 적용하지 않은 사이트도 부기지수다.

과거 페이스북은 사용자가 로그인시에만 HTTPS를 사용했다.


그러나 마크 저커버그 페이스북 최고경영자는 “로그인시에만 HTTPS를 적용하는 것은 매우 위험한 생각이다. HTTPS이 미적용된 상황에선 로그인 후 페이스북을 사용하면서 주고받는 메시지를 탈취당할 수 있기 때문이다”라고 말하며 전 영역에 SSL암호화를 적용했다.

이는 포털사들의 메일서비스에도 그대로 적용된다. SSL암호화를 통해 로그인 정보는 보호받을 수 있지만 이메일을 확인하거나 쓰는 동안 동일한 네트워크의 다른 사용자가 이를 손쉽게 가로챌 수 있기 때문이다.

문제는 이것이 모바일에도 그대로 적용된다는 것이다.

스마트폰 보급률이 높아지면서 공짜 AP(액세스포인트)도 급격하게 증가했다. 스마트폰이나 노트북을 공짜 AP에 접속시켜 사용하는 사람도 많아졌다. 그러나 해커들이 공짜 AP에 접속한 사용자들의 정보를 탈취할 수 있다는 사실을 아는 사람은 많지 않다.

예를 들어보자.

A는 ‘freeap’라는 AP에 접속해 모바일 네이버로 들어갔다. A는 네이버 메일 서비스를 사용해 지인에게 메일을 보냈다. ‘freeap’에는 사용자들의 정보탈취를 목적으로 한 해커도 접속해 있었다. ‘freeap’의 패킷을 감청하고 있던 해커는 특정 주소에서 발송되는 메시지(메일)을 포착했고 이를 빼돌릴 수 있게 됐다.

사용자 디바이스 내부 데이터를 탈취한다는 의미는 아니다. SSL암호화가 적용되지 않은 서비스(앱도 포함)와 서버간의 메시지를 탈취한다는 의미다. 이러한 이유로 구글, 야후는 메일서비스 전체에 SSL암호화를 적용했다.

이러한 우려를 인지했는지 네이버, 다음, 네이트와 같은 국내 포털업체들도 메일서비스에 SSL암호화를 도입할 준비를 하고 있다고 한다.


개인정보유출문제로 뒤숭숭한 상황에 국내 인터넷서비스 업체들의 SSL암호화는 이제 선택이 아닌 필수가 아닐까?


2012/05/11 08:08 2012/05/11 08:08