PGR21.com
- 자유 주제로 사용할 수 있는 게시판입니다.
- 토론 게시판의 용도를 겸합니다.
Date 2023/02/14 12:34:20
Name Regentag
Subject [일반] TLS 보호 약화하기, 한국 스타일
관련 글
1. [막다른 골목에 다다른 한국의 온라인 보안 실태]
  https://pgr21.co.kr/freedom/97640
2. [TouchEn nxKey 취약점 공개] (졸업님의 글입니다)
  https://pgr21.co.kr/freedom/97663
3. [TouchEn nxKey 취약점 공개에 대한 개발사의 입장]
  https://pgr21.co.kr/freedom/97695
4. [IPinside LWS Agent 취약점 공개]
  https://pgr21.co.kr/freedom/97770

지난 글들에서 이어집니다.

보안 전문가인 블라디미르 팔란트는 한국의 온라인 보안 실태에 대해 비판하면서, 국내에서 사용되는 보안 프로그램들의 취약점을 발견하여 보고하였고 관례에 따라 90일 뒤에 공개할 것임을 밝혔었습니다. (관련 글 1. 참조)

제가 미처 신경쓰지 못해 이번에 공개된건 pgr에 글이 좀 늦었습니다.

이번에 공개된 내용은 한국의 보안 소프트웨어들이 사용자 PC에 설치하는 루트 인증서에 대한 내용입니다.
전체 내용(한국어 번역)은 여기에서 보실 수 있습니다.
https://github.com/alanleedev/KoreaSecurityApps/blob/main/03_weakening_tls_protection.md

요약 내용은 GeekNews에서 퍼왔습니다.
https://news.hada.io/topic?id=8412
====
• 한국 보안 프로그램들이 로컬 서버에서 TLS 사용을 위해 [비공인 자체 인증기관을 PC에 설치]한다.
• 이들 인증기관에서 사용하는 비밀키에 대해서는 보안상 잘 관리가 되야하지만 이것을 강제하는 법이나 외부 감참 등이 없기 때문에 이것을 설치한 업체가 보안 유지를 잘 하기를 믿어야 한다.
• 하지만 이전 글에서 보았듯이 과연 업체들이 얼마나 잘 보안을 유지할지는 의문이다.
• 만약 비밀키가 유출시에는 한국에 많은 사람들이 웹사이트 사칭위험에 노출될 수 있다.
• 자체 인증기관 설치시 좀 더 안전한 방법과 사례를 제시한다.
====

인증서는 TLS(HTTPS)와 같은 보안 연결의 기반이 됩니다. 상대방이 신뢰할 수 있는 대상인지 알 수 있게 해 주죠. 루트 인증서는 상대방의 인증서가 신뢰할 수 있는 기관에서 발급되었는지 확인하기 위해 사용됩니다.

PC에 루트 인증서를 추가한다는것은 해당 기관을 통해 발급한 인증서를 무제한으로 신뢰하겠다는 뜻이 되죠. 그런데 그 기관이 인증서 발급을 제대로 관리하지 못한다면 심각한 보안 문제가 됩니다.

한국은 인증서 관리가 잘 되지 않는 국가입니다. 과거 2017년에 시만텍의 인증서 발급을 대행하던 한국전자인증의 인증서 부정발급(와일드카드 인증서 발급)이 문제가 된 사례가 있었습니다. 이 사건의 여파로 시만텍은 인증서 발급사업을 매각하고 시장에서 철수했습니다.
https://n.news.naver.com/mnews/article/092/0002114313?sid=105

2018년에는 정부 인증서(GPKI) 발급 과정에서 *.co.kr, *.go.kr 등 와일드카드 인증서를 발급하는 사고를 친 적도 있습니다.
https://m.clien.net/service/board/lecture/11964196

https://www.mois.go.kr/frt/bbs/type001/commonSelectBoardArticle.do?bbsId=BBSMSTR_000000000009&nttId=62842

와일드카드 인증서는 위의 클리앙 글에서 잘 설명했다시피 중간자공격에 활용될 수 있습니다(HTTPS 패킷을 까 볼수 있는거죠). 따라서 이런 위험이 있는 와일드카드 인증서의 발급은 금지되어 있습니다.

일련의 사건들로 인해서 모질라의 파이어폭스 브라우저는 더 이상 GPKI는 신뢰하지 않고 있죠.

통합규정 1.3 이용안내 인용

"Pgr은 '명문화된 삭제규정'이 반드시 필요하지 않은 분을 환영합니다.
법 없이도 사는 사람, 남에게 상처를 주지 않으면서 같이 이야기 나눌 수 있는 분이면 좋겠습니다."
라바니보
23/02/14 12:58
수정 아이콘
제 3의 기관에 의한 인증서 검증방식이 인터넷 표준으로 알고있는데 이 방식은 도대체 왜 안쓰는 걸까요...
내가 낸데.... 으의? 이런 마인드는 아니겠죠.
개발괴발
23/02/14 18:20
수정 아이콘
가장 대표적인 이유는, 유명한 루트 인증기관(Verisign 등)으로부터 인증서를 받고 갱신하고 하는 건 [오래]걸리거든요.
(짧아야 3~5영업일, 많이 걸리면 2~3주 걸리기도 하지요. 그나마 요새 HTTPS SSL 인증서는 좀 빨리 되더라만..)
빨리빨리가 기본인 한국적 감수성이 부족한 루트 인증기관들 때문에 그렇습니다?
Regentag
23/02/14 22:06
수정 아이콘
많은 보안 프로그램들이 PC에 웹서버를 설치하고 브라우저 플러그인과 통신하는 방식으로 작동합니다. 그렇기 때문에 PC(127.0.0.1)에 HTTPS로 접근할 필요가 있습니다.
여기에 필요한 인증서를 제대로 된 루트 인증기관에서 발급받기가 어려운게 아닐까 합니다.
담배상품권
23/02/14 12:59
수정 아이콘
하, 쓰레기들.
한국 보안은 소송책임 없애기 위한 비용을 소비자한테 전가하는것일 뿐이군요
DownTeamisDown
23/02/14 14:25
수정 아이콘
이 원인은 다 돈을 안쓰려고 하는겁니다.
표준에 맞춰서 개발하려면 표준을 아는사람을 써야하는데 귀찮으니까 보안 다 풀고서 만든거죠.
우스타
23/02/14 15:42
수정 아이콘
와일드카드 인증서는 정말 실수였을까요?
-안군-
23/02/14 18:08
수정 아이콘
왠지.. 테스트하려고 만든 인증서를 그냥 풀어버린거 아닌가 하는 생각이 드네요.
정부기관 관련 일을 해보면 알게되는게... 예네는 요구사항이 충족되기만 하면 그만입니다. 보안이나 퍼포먼스나 등등.. 디테일엔 별 관심이 없어요. 어차피 검증하는 사람들도 비전문가거든요.
Regentag
23/02/14 22:00
수정 아이콘
정부기관에서 일이 어떻게 돌아가는지 아는 입장에서 생각해보면 그냥 담당자가 저게 무슨의미인지 잘 몰랐을 가능성이 높아보입니다.
아마 처음엔 뭘 잘못했는지도 몰랐을거에요.
개발괴발
23/02/14 18:18
수정 아이콘
보안은 기본적으로 [안되요 비표준이에요 그런건 반칙이에요]를 달고 살아야 되는 업무라
솔직히 윗사람들(보통은 정부관계자)한테 이쁨받기 힘든 조직입니다 =_=
그래서 모양새는 그럴듯하지만 사용은 편리-_-하게, 빠-_-르게를 자꾸 요구 받는 조직이기도 하고요...
Regentag
23/02/14 22:09
수정 아이콘
"이렇게 하면 보안도 강화되고 사용자도 편해져요"라고 제시하면 [안돼, 보안은 무조건 불편해야 하는거야]라는 반응도 의외로 흔하게 보입니다.
불편하면 사용자는 보안에 취약한 다른 방법을 찾는데 말이죠. 외울 수 없는 랜덤 비밀번호 사용을 강제하면 포스트잇에 써서 모니터에 붙인다던가 하는 식으로요.
23/02/14 18:35
수정 아이콘
파폭 유저이자 모질라 재단 후원 경험 있는 1인 임장에서 쪽팔렸던 사건 중 하나가
저래놓고 모질라 포럼 와서 왜 우리 인증서 신뢰 안해주냐고 정부부처들 와서 키배 벌이다가 처발렸던 해프닝이었습니다
목록 삭게로! 맨위로
번호 제목 이름 날짜 조회 추천
97916 [일반] 난임지원의 현실. [65] 사업드래군14614 23/02/14 14614 37
97915 [일반] 업무중에 마주하게된 상식논란 (1kbyte 는?) [102] 겨울삼각형15500 23/02/14 15500 0
97914 [일반] TLS 보호 약화하기, 한국 스타일 [11] Regentag11262 23/02/14 11262 7
97913 [일반] 진짜로 소멸됩니다. Internet Explorer 11 [39] Tiny13592 23/02/14 13592 2
97912 [일반] 싱글세를 걷으려면 적어도 나라에서 그만한 책임을 보여야 하지 않나요 [225] sionatlasia19249 23/02/14 19249 25
97911 [일반] 일본, 사실상 싱글세 도입 확실시 [412] 아롱이다롱이17706 23/02/14 17706 1
97910 [일반] 조기 은퇴라니, 로또라도 된건가? [19] 타츠야12135 23/02/14 12135 21
97909 [일반] WBC 일본 대표팀 분석 - 내야수 편 2부 [13] 민머리요정23766 23/02/14 23766 10
97908 [일반] 슬램덩크 모르는 사람의 극장판 후기 (스포X) [31] 계신다9314 23/02/13 9314 18
97907 [일반] 그 나잇대에 소중한 것들 [32] 흰둥14876 23/02/13 14876 60
97906 [일반] WBC 일본 대표팀 분석 - 내야수 편 1부 [13] 민머리요정24251 23/02/13 24251 13
97905 [일반] <맨 프롬 어스> - 올드맨 아저씨의 믿거나 말거나. [87] aDayInTheLife12434 23/02/12 12434 4
97904 [일반] 애플 가로수길에 아이폰 배터리 교환 서비스 받으러 갔다 그냥 돌아온 이야기 [82] 웜뱃은귀여워16060 23/02/12 16060 13
97903 [일반] 가수 예민씨... 이런 분도 있었군요 [32] 흰둥18827 23/02/12 18827 7
97902 [일반] WBC 일본 대표팀 분석 - 포수 편 [16] 민머리요정27281 23/02/12 27281 11
97901 [일반] 사회에서 만난 친구에게 [2] matthew9364 23/02/12 9364 6
97900 [일반] (PIC) 기억에 남는 한국 노래가사 TOP 30 이미지로 만들어 봤습니다. [14] 요하네8136 23/02/12 8136 6
97899 [일반] 슬램덩크 흥행돌풍 신기하네요 [72] 꽃차14426 23/02/11 14426 1
97898 [일반] 방금 경험한 일 [31] 수리검13552 23/02/11 13552 3
97897 [일반] (뻘글)인간은 똑같은 실수를 반복한다 [3] 랜슬롯8175 23/02/11 8175 1
97896 [정치] 정의연의 회계부정과 1심 판결 벌금형 [293] 유미23662 23/02/11 23662 0
97895 [일반] WBC 일본 대표팀 분석 - 불펜투수 편 [20] 민머리요정28860 23/02/11 28860 15
97894 [일반] 성우 타카하시 리에와 함께 떠나는 이세계 여행(희망편) [13] 이그나티우스10074 23/02/11 10074 5
목록 이전 다음
댓글

+ : 최근 1시간내에 달린 댓글
+ : 최근 2시간내에 달린 댓글
맨 위로