동아일보의 1면 기사를 통해서 이런 저런 이야기들이 많이 오가고 있습니다. 해당 분야에 대해서 오랫동안 관심을 가지고 지켜 본 이로서, 오해 / 잘못된 정보가 오고 가는 것을 막고자 이렇게 글을 써 봅니다.


우선 언론을 통해서 나오는 기사들을 한번 보시죠.


[단독]스마트폰 보안방패 ‘SSL인증’마저 해킹에 속수무책

http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=105&oid=020&aid=0002236612


울산과기대 서의성교수 연구팀 국내 첫 시연


첫시연이라... 노코멘트.



스마트폰으로 무선 인터넷인 와이파이(Wi-Fi)에 접속하는 과정에서 웹사이트 접속을 위한 ID, 비밀번호와 e메일 내용 등 개인정보가 ‘해커’에게 고스란히 넘어갈 수 있다는 사실이 실험을 통해 국내에서 처음 확인됐다


처음이라... 이것도 노코멘트.



실험 대상 10곳 가운데 다음 야후 구글 페이스북 트위터 홈페이지, UNIST 홈페이지와 강의관리시스템(블랙보드), 심지어 정보통신산업 지원을 위해 설립된 지식경제부 산하 정보통신산업진흥원마저 뚫었다. 자체 암호화 시스템을 갖고 있는 네이버와 넥슨에 대한 해킹은 실패했다. 개인의 통신 접속을 중간에서 가로채는 것은 불법이지만 UNIST 측은 연구를 위해 기자와 연구원의 동의하에 이 같은 실험을 진행했다.


엄밀히 말해서 "뚫었다"가 아니고 "ID/Password가 노출이 되었다"겠죠. "뚫었다"라는 단어에서는 해당 서버가 공격을 당했다는 뉘앙스를 줄 수 있습니다. 잘못된 정보의 전달 가능성이 충분히 존재하는 문구입니다.



서 교수팀은 한발 더 나아가 무선랜 접속의 허점을 보완하기 위해 사용하는 SSL(Secure Sockets Layer)마저 뚫었다는 게 차이점이다. SSL은 단말기와 포털 등의 서버가 통신할 때 ‘인증 키(key)’를 서로 확인함으로써 개인정보 등을 보호하는 기술이다. SSL 인증 방식은 유선 인터넷에서 보안 강화를 위해 사용하고 있으며, 최근 스마트폰을 이용한 무선 인터넷에도 도입됐다. 그러나 연구팀은 SSL 인증키마저 가로챔으로써 보안을 강화한 무선 인터넷의 개인정보까지 빼냈다.


sslsniff, sslstrip으로 검색을 해 보시면 다양한 정보들을 접할 수 있습니다. 이에 대해선느 나중에 더 자세한 설명을 하기로 하죠.



게다가 이번 ‘SSL 인증키 가로채기’는 UNIST 전산과 2학년 학부생이 2주일 만에 해냈다는 점에서 충격을 주고 있다. 이와 관련된 공식적인 사건은 보고된 바 없지만 이미 해커들이 공공장소에 가짜 AP를 설치하고 개인정보를 빼갔을 가능성이 있다. 해커 출신 한 보안업체 관계자는 “일부 해커들은 SSL 인증을 가로챌 수 있다는 사실을 이미 알고 있다”고 말해 이를 뒷받침했다. 


자기가 직접 소스 코드를 작성해 가며 구현을 한 거라면 몰라도 기존의 툴을 조합해서 테스트하는 것에 2주나 걸렸다면, 공부를 좀 더 했으면 합니다. 



이번 실험이 성공함으로써 예를 들어 카페 백화점 등 어느 곳에서든 스마트폰으로 인터넷에 접속할 때 이를 중간에 가로채 사용자의 개인정보를 모두 빼낼 수 있다는 사실이 밝혀졌다. 서 교수는 “가짜 AP를 공공장소 등에 설치하면 스마트폰 사용자들의 정보를 다량으로 빼낼 수 있다”며 “추가 보안을 위한 기술 개발이 필요하다”고 말했다.  이날 실험에 앞서 연구팀은 별도의 공인인증서 등으로 이중, 삼중 보안을 하는 금융기관의 해킹도 시도했지만 가짜 AP로는 뚫리지 않았다.


당연히 Backtrack에 해당 기능이 없으니 그렇죠. 상대적으로 국내 보안 인증이 SSL기반에 비해 안전하다라고 할 수 있는 뉘앙스를 주는군요.. MITM Attack 기반에서 SSL Attack에 대한 연구가 더 많을 뿐입니다. 국내 인증 관련된 스펙이 전 세계적으로 유명해 지게 된다면 취약한 건 별반 다를 바 없습니다. 취약해서 유명한게 아니라 유명해서 취약한 겁니다.




국내 첫 ‘스마트폰 해킹 시연’ 본보 보도후 사용자들 발칵

http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=105&oid=020&aid=0002237054


가짜 무선접속장치(AP)를 설치해 스마트폰을 해킹하자 보안 기술인 SSL(Secure Sockets Layer)마저 뚫렸다는 실험 결과를 본보가 단독 보도(1일자 A1·2·3면)하자 “그게 정말이냐”는 반응이 쏟아졌다. 스마트폰 사용자 임지희 씨(31)는 “데이터 무제한요금제가 아니기 때문에 잡히는 대로 AP를 사용해왔다”며 “누군가 악의적으로 만든 AP에 접속하고도 몰랐을 수 있겠다 싶어 더럭 겁이 났다”고 말했다.


본 취약점은 예전부터 있어 왔었던 알만한 사람은 다 아는 사실이죠. 메이저 언론을 통해서 보도가 됨으로써 일반일들로 하여금 해당 취약점에 대한 경각심을 높일 수 있다는 것은 높이 살 만 하지만, 결론적으로 국민들을 불안하게 만들 뿐입니다. 본 취약점(WiFi 환경에서 Packet이 노출되어 질 수 있는 가능성에 대한 위협)은 사실 일반 사용자가 별로 대응할 게 없습니다. 대응 방안에 대해서도 나중에 다시 논의를 해 보도록 하겠습니다.



SSL 인증키를 개발 판매하는 인증기관들은 SSL은 기술적으로는 문제가 없지만 가짜 AP에 의한 SSL 인증키 가로채기 공격에 취약한 것은 사실이라고 인정했다. 가짜 AP 접속을 막으려면 추가 인증 과정이 필요하다고 조언했다. 한국정보인증 기술개발팀 김기백 대리는 “AP와 사용자 간에 인증체계를 한 단계 더 두는 방법, 즉 스마트폰 등에 미리 인증서를 내장하고 무선 AP와 인증서를 교환하면 가짜 AP에 자동 접속되는 것을 막을 수 있다”고 설명했다.


SSL 자체는 정말 훌륭합니다. 다만 지금까지 SSL에 대한 취약점이 논의된 것은 SSL 자체보다가는 side effect에 의한 Attack들이 이슈화가 되었습니다. 이번에 코드게이트에서 관련된 내용을 발표하였으니 참고하시기 바랍니다.  SSLStrip(2011.04.04).ppt



오병철 연세대 법대 교수는 “민간 AP를 정부가 규제하는 것은 민법에서 강조하는 개인의 사적자치에 위배된다”며 “와이파이의 보안 문제를 적극적으로 알리고, 대학 도서관 등 다수가 접속하는 민간 AP를 어떻게 행정지도 할지 고민이 필요하다”고 말했다.


이러한 취약점때문에 모든 AP에 암호를 걸어야 한다는 것은 옳지 않습니다. Public WiFi 자체가 자유롭고 쉬운 접속을 보장하는 것이 큰 장점이기 때문입니다.



방통위는 6월 전국의 사설 AP 실태를 조사한 뒤 대책을 검토할 예정이다. 또 인터넷진흥원과 함께 스마트폰 애플리케이션 개발 시 쉽게 데이터를 암호화할 수 있도록 2일부터 국산 암호 라이브러리를 개방키로 했다.


정부차원의 대응은 자제되었으면 합니다. "강제 규정"이 도입될 가능성이 농후하고, 구데기 무서워 장 못담그는 일이 발생할 것으로 보입니다.

You would..