:: 게시판

:: 이전 게시판

- 자유 주제로 사용할 수 있는 게시판입니다.
- 토론 게시판의 용도를 겸합니다.

Date	2023/02/14 12:34:20
Name	Regentag
Subject	[일반] TLS 보호 약화하기, 한국 스타일
https://pgr21.co.kr/freedom/97914 삭게로! 관련 글 1. [막다른 골목에 다다른 한국의 온라인 보안 실태] https://pgr21.co.kr/freedom/97640 2. [TouchEn nxKey 취약점 공개] (졸업님의 글입니다) https://pgr21.co.kr/freedom/97663 3. [TouchEn nxKey 취약점 공개에 대한 개발사의 입장] https://pgr21.co.kr/freedom/97695 4. [IPinside LWS Agent 취약점 공개] https://pgr21.co.kr/freedom/97770 지난 글들에서 이어집니다. 보안 전문가인 블라디미르 팔란트는 한국의 온라인 보안 실태에 대해 비판하면서, 국내에서 사용되는 보안 프로그램들의 취약점을 발견하여 보고하였고 관례에 따라 90일 뒤에 공개할 것임을 밝혔었습니다. (관련 글 1. 참조) 제가 미처 신경쓰지 못해 이번에 공개된건 pgr에 글이 좀 늦었습니다. 이번에 공개된 내용은 한국의 보안 소프트웨어들이 사용자 PC에 설치하는 루트 인증서에 대한 내용입니다. 전체 내용(한국어 번역)은 여기에서 보실 수 있습니다. https://github.com/alanleedev/KoreaSecurityApps/blob/main/03_weakening_tls_protection.md 요약 내용은 GeekNews에서 퍼왔습니다. https://news.hada.io/topic?id=8412 ==== • 한국 보안 프로그램들이 로컬 서버에서 TLS 사용을 위해 [비공인 자체 인증기관을 PC에 설치]한다. • 이들 인증기관에서 사용하는 비밀키에 대해서는 보안상 잘 관리가 되야하지만 이것을 강제하는 법이나 외부 감참 등이 없기 때문에 이것을 설치한 업체가 보안 유지를 잘 하기를 믿어야 한다. • 하지만 이전 글에서 보았듯이 과연 업체들이 얼마나 잘 보안을 유지할지는 의문이다. • 만약 비밀키가 유출시에는 한국에 많은 사람들이 웹사이트 사칭위험에 노출될 수 있다. • 자체 인증기관 설치시 좀 더 안전한 방법과 사례를 제시한다. ==== 인증서는 TLS(HTTPS)와 같은 보안 연결의 기반이 됩니다. 상대방이 신뢰할 수 있는 대상인지 알 수 있게 해 주죠. 루트 인증서는 상대방의 인증서가 신뢰할 수 있는 기관에서 발급되었는지 확인하기 위해 사용됩니다. PC에 루트 인증서를 추가한다는것은 해당 기관을 통해 발급한 인증서를 무제한으로 신뢰하겠다는 뜻이 되죠. 그런데 그 기관이 인증서 발급을 제대로 관리하지 못한다면 심각한 보안 문제가 됩니다. 한국은 인증서 관리가 잘 되지 않는 국가입니다. 과거 2017년에 시만텍의 인증서 발급을 대행하던 한국전자인증의 인증서 부정발급(와일드카드 인증서 발급)이 문제가 된 사례가 있었습니다. 이 사건의 여파로 시만텍은 인증서 발급사업을 매각하고 시장에서 철수했습니다. https://n.news.naver.com/mnews/article/092/0002114313?sid=105 2018년에는 정부 인증서(GPKI) 발급 과정에서 .co.kr, .go.kr 등 와일드카드 인증서를 발급하는 사고를 친 적도 있습니다. https://m.clien.net/service/board/lecture/11964196 https://www.mois.go.kr/frt/bbs/type001/commonSelectBoardArticle.do?bbsId=BBSMSTR_000000000009&nttId=62842 와일드카드 인증서는 위의 클리앙 글에서 잘 설명했다시피 중간자공격에 활용될 수 있습니다(HTTPS 패킷을 까 볼수 있는거죠). 따라서 이런 위험이 있는 와일드카드 인증서의 발급은 금지되어 있습니다. 일련의 사건들로 인해서 모질라의 파이어폭스 브라우저는 더 이상 GPKI는 신뢰하지 않고 있죠.

통합규정 1.3 이용안내 인용

"Pgr은 '명문화된 삭제규정'이 반드시 필요하지 않은 분을 환영합니다.
법 없이도 사는 사람, 남에게 상처를 주지 않으면서 같이 이야기 나눌 수 있는 분이면 좋겠습니다."

라바니보

해시 아이콘

23/02/14 12:58

제 3의 기관에 의한 인증서 검증방식이 인터넷 표준으로 알고있는데 이 방식은 도대체 왜 안쓰는 걸까요...
내가 낸데.... 으의? 이런 마인드는 아니겠죠.

개발괴발

해시 아이콘

23/02/14 18:20

가장 대표적인 이유는, 유명한 루트 인증기관(Verisign 등)으로부터 인증서를 받고 갱신하고 하는 건 [오래]걸리거든요.
(짧아야 3~5영업일, 많이 걸리면 2~3주 걸리기도 하지요. 그나마 요새 HTTPS SSL 인증서는 좀 빨리 되더라만..)
빨리빨리가 기본인 한국적 감수성이 부족한 루트 인증기관들 때문에 그렇습니다?

Regentag

해시 아이콘

23/02/14 22:06

많은 보안 프로그램들이 PC에 웹서버를 설치하고 브라우저 플러그인과 통신하는 방식으로 작동합니다. 그렇기 때문에 PC(127.0.0.1)에 HTTPS로 접근할 필요가 있습니다.
여기에 필요한 인증서를 제대로 된 루트 인증기관에서 발급받기가 어려운게 아닐까 합니다.

담배상품권

해시 아이콘

23/02/14 12:59

하, 쓰레기들.
한국 보안은 소송책임 없애기 위한 비용을 소비자한테 전가하는것일 뿐이군요

DownTeamisDown

해시 아이콘

23/02/14 14:25

이 원인은 다 돈을 안쓰려고 하는겁니다.
표준에 맞춰서 개발하려면 표준을 아는사람을 써야하는데 귀찮으니까 보안 다 풀고서 만든거죠.

우스타

해시 아이콘

23/02/14 15:42

와일드카드 인증서는 정말 실수였을까요?

-안군-

해시 아이콘

23/02/14 18:08

왠지.. 테스트하려고 만든 인증서를 그냥 풀어버린거 아닌가 하는 생각이 드네요.
정부기관 관련 일을 해보면 알게되는게... 예네는 요구사항이 충족되기만 하면 그만입니다. 보안이나 퍼포먼스나 등등.. 디테일엔 별 관심이 없어요. 어차피 검증하는 사람들도 비전문가거든요.

Regentag

해시 아이콘

23/02/14 22:00

정부기관에서 일이 어떻게 돌아가는지 아는 입장에서 생각해보면 그냥 담당자가 저게 무슨의미인지 잘 몰랐을 가능성이 높아보입니다.
아마 처음엔 뭘 잘못했는지도 몰랐을거에요.

개발괴발

해시 아이콘

23/02/14 18:18

보안은 기본적으로 [안되요 비표준이에요 그런건 반칙이에요]를 달고 살아야 되는 업무라
솔직히 윗사람들(보통은 정부관계자)한테 이쁨받기 힘든 조직입니다 =_=
그래서 모양새는 그럴듯하지만 사용은 편리-_-하게, 빠-_-르게를 자꾸 요구 받는 조직이기도 하고요...

Regentag

해시 아이콘

23/02/14 22:09

"이렇게 하면 보안도 강화되고 사용자도 편해져요"라고 제시하면 [안돼, 보안은 무조건 불편해야 하는거야]라는 반응도 의외로 흔하게 보입니다.
불편하면 사용자는 보안에 취약한 다른 방법을 찾는데 말이죠. 외울 수 없는 랜덤 비밀번호 사용을 강제하면 포스트잇에 써서 모니터에 붙인다던가 하는 식으로요.

shovel

해시 아이콘

23/02/14 18:35

파폭 유저이자 모질라 재단 후원 경험 있는 1인 임장에서 쪽팔렸던 사건 중 하나가
저래놓고 모질라 포럼 와서 왜 우리 인증서 신뢰 안해주냐고 정부부처들 와서 키배 벌이다가 처발렸던 해프닝이었습니다

목록 삭게로! 맨위로

번호	제목	이름	날짜	조회	추천
98259	[정치] 정말 개판으로 돌아가고 있는 창녕군수 선거 [69]	버들소리18178	23/03/24	18178	0
98258	[일반] 범죄자 이야기 [27]	쩜삼이12327	23/03/24	12327	25
98257	[일반] 하이닉스 P31 2테라 또 풀렸습니다 [ 종료] [56]	SAS Tony Parker 13080	23/03/24	13080	0
98256	[일반] 저희 나라가 아니라 우.리.나.라 인데요 [311]	무냐고25463	23/03/24	25463	6
98255	[일반] 테라·루나 사기로 도망다니던 권도형이 체포되었습니다. [101]	검사16548	23/03/24	16548	5
98253	[일반] <파벨만스> - 노장 감독의 따뜻한 자기고백. [17]	aDayInTheLife7589	23/03/23	7589	3
98252	[일반] 이번에 리디 페이퍼4 신청하신 분들 확인해 보세요 [22]	Zelazny11782	23/03/23	11782	6
98251	[일반] [역사] 막걸리가 '숙취 심한 술'이 된 이유 / 막걸리의 역사 [40]	Fig.143818	23/03/23	43818	24
98250	[일반] 재미로 보는 임진왜란의 시마즈가문의 출병 일지 [14]	겨울삼각형10096	23/03/23	10096	1
98249	[일반] 심심해서 쓰는 무협 뻘글 11 [2]	具臣5859	23/03/23	5859	1
98248	[정치] 법무부·검찰 '검수완박' 헌법소송 각하…법 효력 유지 [158]	덴드로븀18604	23/03/23	18604	0
98247	[정치] 진보정당은 왜 사분오열 되었을까? 군소정당부터 이어오는 진보정당사 [109]	토루12209	23/03/23	12209	0
98246	[일반] [WBC] 다르빗슈 유는 Team JAPAN에 있어서 어떤 존재였나 [38]	Nacht10573	23/03/23	10573	22
98245	[정치] 내년 총선 방식을 결정지을 선거구제 개편안이 3종 [41]	빼사스9756	23/03/23	9756	0
98244	[정치] ”세월호처럼 분노 분출시켜라” 北, 핼러윈 뒤 민노총에 지령 [212]	dbq12320508	23/03/23	20508	0
98243	[정치] 세대포위론의 흥망성쇠 [68]	베놈10214	23/03/23	10214	0
98242	[정치] 국회의원 반말 금지법이 필요합니다. [28]	덴드로븀9620	23/03/23	9620	0
98241	[정치] 尹 “日소부장, 경쟁국에 뺏길라” [169]	동훈16092	23/03/23	16092	0
98240	[일반] 스압) AI로 만들어 본 레트로 애니메이션 느낌 그림들 [42]	안초비13400	23/03/23	13400	18
98239	[일반] 2023 WBC 후기 [48]	민머리요정12878	23/03/22	12878	58
98237	[정치] 노무현은 시대정신이 낳은 미숙아인가? [155]	노틀담의곱추19788	23/03/22	19788	0
98236	[정치] '4895억 배임·133억 뇌물' 이재명 기소…1년 6개월만(종합) [336]	아수날23835	23/03/22	23835	0
98235	[정치] 외국인 가사도우미 법안이 발의 후 철회, 재발의되었습니다. [74]	계층방정16036	23/03/22	16036	0

목록 이전 다음

+ : 최근 1시간내에 달린 댓글
+ : 최근 2시간내에 달린 댓글

맨 위로

PGR21.com

통합규정 1.3 이용안내 인용