작년 한 해, 인증서와 암호화 키 관련 공격 빈번해
IP로 이루어진 환경에서 인증서와 암호화 키는 곧 신뢰
[보안뉴스 문가용] 2015년을 분석하는 기사와 칼럼들이 소나기처럼 지나갔다. 필자 역시 랜섬웨어의 득세, 디도스의 여전한 강세, 사이버전의 심화 등 단순 나열만으로 다루기 힘든 굵직한 주제들을 복습하며 그때를 떠올려보곤 했다. 그러다가 문득, 아무도 신뢰에 대해서는 이야기하지 않았다는 생각이 들었다. 2015년은 그 어느 때보다 ‘신뢰’라는, 모든 인터넷 기술과 환경의 기본 중 기본이 되는 머릿돌이 흔들렸던 때인데 말이다.
.jpg)
다름 아니라 암호화 키나 인증서에 대한 공격에 대한 이야기다. 작년 한 해 동안 정말 많은 인증서 공격 및 도용을 우리는 목격했다. 인증서와 암호화키는 IP를 기반으로 한 모든 상호작용에 있어서 가장 중요한 기초가 되는 ‘신뢰’이며, 이 신뢰가 있어서 우리는 온라인에서 많은 것들을 할 수 있게 된다. 항공권을 인터넷으로 예매하거나 랩탑 소프트웨어를 다운로드 받거나 정부가 인증기관을 지정해 운영하고 아무 데서고 구글을 할 수 있고 은행에 가지 않고도 은행 업무를 할 수 있는 건 전부 이 키와 인증서가 구축한 ‘신뢰’ 때문이다.
키나 인증서를 안전하게 보호하지 못한다면, 그래서 통신과 인증 모두를 믿을 수 없게 되면 사업이라는 것이 아예 성립하지 않는 곳이 많다. 신뢰의 위기를 가져다 준 대형사건 9가지를 추려보았다.
1. 고고와 중간자공격
2015년 초부터 인증서 관련 공격이 있었다. 구글 크롬 개발자 중 한 사람이 고고(Gogo)라는 비행기내 와이파이 서비스에서 가짜 구글 인증서를 발견한 것이다. 고고에서 가짜 구글 인증서를 발행하고 있었던 것. 고고는 온라인 동영상 스트리밍을 막기 위한 것이라고 했지만, 이유야 어쨌든 이 가짜 인증서 때문에 고객들은 전부 중간자 공격에 노출됐다.
2. 레노보 안에 미리 설치된 슈퍼피시 멀웨어
레노보(Lenovo)가 판매하는 랩탑에 애드웨어가 미리 설치된 채 유통되고 있다는 사실이 드러났다. 이 애드웨어는 루트 인증서를 멋대로 제작하는 기능을 가지고 있었다. 일반 사용자가 이런 애드웨어에 노출되면 중간자 공격이 가능해진다.
3. CNNIC, 구글과 모질라에게서 금지당하다
중국의 정부가 운영하는 인증서 발급 기관인 CNNIC이 인증한 도메인 일부에서 비승인 인증서가 발급되었다는 사실을 구글이 발견한 사건도 있었다. 하지만 인증서, 인증기관이 얽힌 일이라면 ‘일부’의 오류라도 전체의 오류가 된다. 그렇기 때문에 이는 곧바로 CNNIC 전체가 신뢰를 잃는 일로 발전했고, 구글과 모질라는 빠르게 CNNIC 인증서와 도메인을 블록 조치했다.
4. 세인트루이스 연방정부은행 유출사건
미국 세인트루이스 연방정부은행의 도메인 이름 레지스터를 해커들이 장악한 사건이 일어났다. 이 때문에 해당 은행의 고객들을 다른 악성 사이트로 우회시키는 공격이 가능해졌다.
5. 새로운 SSL/TLS 취약점
디피-헬만 키 교환이라는 암호 키 교환 알고리즘 중 하나에서 로그잼(Logjam)이라는 취약점이 발견되었다. HTTPS, SSH, IPsec 등과 같은 프로토콜들이 키를 공유하는 방식을 다루는 알고리즘인데, 여기에서 발생한 취약점이므로 중간자 공격이 가능해진다. 특히 TLS 방식이 많이 취약하다고 알려져 있다.
6. GM의 온스타와 기타 자동차 앱
제너럴 모터스의 온스타(OnStar) 시스템을 해킹하여 GM에서 만든 자동차들을 잠그거나 열고, 시동을 걸거나 끌 수 있다는 사실이 발견되었다. 보안 인증서를 제대로 확인하지 않아서 발생한 문제였다. 인증서가 허술하니 자동차 근처에서 와이파이 핫스팟을 잡아 공격하는 것으로도 충분했다. 마음만 먹으면 자동차의 통제권을 완벽히 가져가는 것도 가능했다. BMW와 메르세데스, 크라이슬러 등 유명 자동차 제조사에서 개발한 iOS용 앱에서도 비슷한 문제가 발견되었다.
7. 주요 인증기관들이 이미 공격당한 인증서 발급하다
넷크래프트(Netcraft)는 최근 가짜 뱅킹 웹 사이트가 시만텍, 코모도, 고대디(GoDaddy)에서 발급한 SSL 인증서를 사용하고 있는 것을 발견했다.
8. 삼성의 스마트 냉장고과 지메일?
삼성의 IoT 스마트 냉장고 제품에서 보안 오류가 발견되었다. 중간자 공격을 통해 지메일 크리덴셜을 훔치는 게 가능해졌는데, 이는 냉장고가 SSL 인증서를 제대로 인지해내지 못했기 때문이다.
9. 시만텍, 인증서 잘못 발급한 직원 해고
HTTPS 구글 사이트를 가짜로 만드는 걸 가능케 하는 비허가 인증서를 발급한 직원들 몇 명이 시만텍에서 해고되었다. 비허가 인증서는 구글의 인증서 투명도(Certificate Transparency) 프로젝트를 통해 세상에 드러났다.
이미 눈치 챘겠지만 위에 나온 사건 전부 암호화 키나 디지털 인증서를 훔치거나 제대로 발급하지 않아 발생한 것이다. 이 때문에 연루된 기관과 기업들은 사용자들에게서 신뢰를 어느 정도 잃어야만 했다. 그런데 이 9개 사건은 빙산의 일각일 뿐이다. 모르긴 해도 드러나지 않고 진행된 사건이 훨씬 더 많을 것이다. 해커들에게 암호화 키와 인증서를 조작하는 건 여러 보안 솔루션을 우회하기에 대단히 좋은 수단이니까 말이다.
암호화 키와 인증서 관리를 해당 기관이나 기업에서 잘 해야 하는 문제가 아니다. 사업의 존폐를 넘어 네트워크, 데이터, 신뢰 관계 모두가 걸린 일이기도 하다. 실제로 세계 5000대 기업들 대부분이 암호화 키와 디지털 인증서를 무한히 신뢰한다는 연구 결과도 있을 정도니, 이는 대단히 가까이에 임박한 문제이기도 하다.
인증서 시스템과 암호화 키가 자꾸만 잘못 사용되어지거나 잘못된 자에 의해 사용되면, 어느 순간부터 친구와 적을 온라인 상에서는 구분할 수 없게 된다. 얼굴을 보고도 좋은 놈 나쁜 놈을 가려내기 힘든데, 인증서 체제가 파괴되어 신뢰가 성립되지 않는 온라인 환경에서라면 그 어떤 매매나 거래, 통신도 이뤄질 수 없다. 또한 이는 이미 디지털 세계로 많이 넘어온 글로벌 경제 자체의 위기로까지 연결된다. 게다가 점점 더 악화되고 있기도 하다.
높은 파도에서는 조금 출렁이는 정도의 파도가 얕은 해안으로 밀려오면서 해일과 쓰나미가 되는 것이다. 2015년 공격자들은 의도했든 아니든 보통 인터넷 사용자들 사이의 신뢰를 좀먹는 데 성공을 거두었다. 이 작은 흔들림이 새해에 어떤 피해로 나타날지 상상하기조차 두렵다. 어쩌면 2016년이 그 흔들림을 틀어막을 수 있는 유일한 기회인지도 모르겠다.
글 : 케빈 보섹(Kevin Bocek)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
IP로 이루어진 환경에서 인증서와 암호화 키는 곧 신뢰
[보안뉴스 문가용] 2015년을 분석하는 기사와 칼럼들이 소나기처럼 지나갔다. 필자 역시 랜섬웨어의 득세, 디도스의 여전한 강세, 사이버전의 심화 등 단순 나열만으로 다루기 힘든 굵직한 주제들을 복습하며 그때를 떠올려보곤 했다. 그러다가 문득, 아무도 신뢰에 대해서는 이야기하지 않았다는 생각이 들었다. 2015년은 그 어느 때보다 ‘신뢰’라는, 모든 인터넷 기술과 환경의 기본 중 기본이 되는 머릿돌이 흔들렸던 때인데 말이다.
다름 아니라 암호화 키나 인증서에 대한 공격에 대한 이야기다. 작년 한 해 동안 정말 많은 인증서 공격 및 도용을 우리는 목격했다. 인증서와 암호화키는 IP를 기반으로 한 모든 상호작용에 있어서 가장 중요한 기초가 되는 ‘신뢰’이며, 이 신뢰가 있어서 우리는 온라인에서 많은 것들을 할 수 있게 된다. 항공권을 인터넷으로 예매하거나 랩탑 소프트웨어를 다운로드 받거나 정부가 인증기관을 지정해 운영하고 아무 데서고 구글을 할 수 있고 은행에 가지 않고도 은행 업무를 할 수 있는 건 전부 이 키와 인증서가 구축한 ‘신뢰’ 때문이다.
키나 인증서를 안전하게 보호하지 못한다면, 그래서 통신과 인증 모두를 믿을 수 없게 되면 사업이라는 것이 아예 성립하지 않는 곳이 많다. 신뢰의 위기를 가져다 준 대형사건 9가지를 추려보았다.
1. 고고와 중간자공격
2015년 초부터 인증서 관련 공격이 있었다. 구글 크롬 개발자 중 한 사람이 고고(Gogo)라는 비행기내 와이파이 서비스에서 가짜 구글 인증서를 발견한 것이다. 고고에서 가짜 구글 인증서를 발행하고 있었던 것. 고고는 온라인 동영상 스트리밍을 막기 위한 것이라고 했지만, 이유야 어쨌든 이 가짜 인증서 때문에 고객들은 전부 중간자 공격에 노출됐다.
2. 레노보 안에 미리 설치된 슈퍼피시 멀웨어
레노보(Lenovo)가 판매하는 랩탑에 애드웨어가 미리 설치된 채 유통되고 있다는 사실이 드러났다. 이 애드웨어는 루트 인증서를 멋대로 제작하는 기능을 가지고 있었다. 일반 사용자가 이런 애드웨어에 노출되면 중간자 공격이 가능해진다.
3. CNNIC, 구글과 모질라에게서 금지당하다
중국의 정부가 운영하는 인증서 발급 기관인 CNNIC이 인증한 도메인 일부에서 비승인 인증서가 발급되었다는 사실을 구글이 발견한 사건도 있었다. 하지만 인증서, 인증기관이 얽힌 일이라면 ‘일부’의 오류라도 전체의 오류가 된다. 그렇기 때문에 이는 곧바로 CNNIC 전체가 신뢰를 잃는 일로 발전했고, 구글과 모질라는 빠르게 CNNIC 인증서와 도메인을 블록 조치했다.
4. 세인트루이스 연방정부은행 유출사건
미국 세인트루이스 연방정부은행의 도메인 이름 레지스터를 해커들이 장악한 사건이 일어났다. 이 때문에 해당 은행의 고객들을 다른 악성 사이트로 우회시키는 공격이 가능해졌다.
5. 새로운 SSL/TLS 취약점
디피-헬만 키 교환이라는 암호 키 교환 알고리즘 중 하나에서 로그잼(Logjam)이라는 취약점이 발견되었다. HTTPS, SSH, IPsec 등과 같은 프로토콜들이 키를 공유하는 방식을 다루는 알고리즘인데, 여기에서 발생한 취약점이므로 중간자 공격이 가능해진다. 특히 TLS 방식이 많이 취약하다고 알려져 있다.
6. GM의 온스타와 기타 자동차 앱
제너럴 모터스의 온스타(OnStar) 시스템을 해킹하여 GM에서 만든 자동차들을 잠그거나 열고, 시동을 걸거나 끌 수 있다는 사실이 발견되었다. 보안 인증서를 제대로 확인하지 않아서 발생한 문제였다. 인증서가 허술하니 자동차 근처에서 와이파이 핫스팟을 잡아 공격하는 것으로도 충분했다. 마음만 먹으면 자동차의 통제권을 완벽히 가져가는 것도 가능했다. BMW와 메르세데스, 크라이슬러 등 유명 자동차 제조사에서 개발한 iOS용 앱에서도 비슷한 문제가 발견되었다.
7. 주요 인증기관들이 이미 공격당한 인증서 발급하다
넷크래프트(Netcraft)는 최근 가짜 뱅킹 웹 사이트가 시만텍, 코모도, 고대디(GoDaddy)에서 발급한 SSL 인증서를 사용하고 있는 것을 발견했다.
8. 삼성의 스마트 냉장고과 지메일?
삼성의 IoT 스마트 냉장고 제품에서 보안 오류가 발견되었다. 중간자 공격을 통해 지메일 크리덴셜을 훔치는 게 가능해졌는데, 이는 냉장고가 SSL 인증서를 제대로 인지해내지 못했기 때문이다.
9. 시만텍, 인증서 잘못 발급한 직원 해고
HTTPS 구글 사이트를 가짜로 만드는 걸 가능케 하는 비허가 인증서를 발급한 직원들 몇 명이 시만텍에서 해고되었다. 비허가 인증서는 구글의 인증서 투명도(Certificate Transparency) 프로젝트를 통해 세상에 드러났다.
이미 눈치 챘겠지만 위에 나온 사건 전부 암호화 키나 디지털 인증서를 훔치거나 제대로 발급하지 않아 발생한 것이다. 이 때문에 연루된 기관과 기업들은 사용자들에게서 신뢰를 어느 정도 잃어야만 했다. 그런데 이 9개 사건은 빙산의 일각일 뿐이다. 모르긴 해도 드러나지 않고 진행된 사건이 훨씬 더 많을 것이다. 해커들에게 암호화 키와 인증서를 조작하는 건 여러 보안 솔루션을 우회하기에 대단히 좋은 수단이니까 말이다.
암호화 키와 인증서 관리를 해당 기관이나 기업에서 잘 해야 하는 문제가 아니다. 사업의 존폐를 넘어 네트워크, 데이터, 신뢰 관계 모두가 걸린 일이기도 하다. 실제로 세계 5000대 기업들 대부분이 암호화 키와 디지털 인증서를 무한히 신뢰한다는 연구 결과도 있을 정도니, 이는 대단히 가까이에 임박한 문제이기도 하다.
인증서 시스템과 암호화 키가 자꾸만 잘못 사용되어지거나 잘못된 자에 의해 사용되면, 어느 순간부터 친구와 적을 온라인 상에서는 구분할 수 없게 된다. 얼굴을 보고도 좋은 놈 나쁜 놈을 가려내기 힘든데, 인증서 체제가 파괴되어 신뢰가 성립되지 않는 온라인 환경에서라면 그 어떤 매매나 거래, 통신도 이뤄질 수 없다. 또한 이는 이미 디지털 세계로 많이 넘어온 글로벌 경제 자체의 위기로까지 연결된다. 게다가 점점 더 악화되고 있기도 하다.
높은 파도에서는 조금 출렁이는 정도의 파도가 얕은 해안으로 밀려오면서 해일과 쓰나미가 되는 것이다. 2015년 공격자들은 의도했든 아니든 보통 인터넷 사용자들 사이의 신뢰를 좀먹는 데 성공을 거두었다. 이 작은 흔들림이 새해에 어떤 피해로 나타날지 상상하기조차 두렵다. 어쩌면 2016년이 그 흔들림을 틀어막을 수 있는 유일한 기회인지도 모르겠다.
글 : 케빈 보섹(Kevin Bocek)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
