보안에 좋다던 HTTPS와 SSL, 오히려 사이버 위협이 되고 있다

2020-04-08 17:25
  • 카카오톡
  • url
안전한 트래픽의 상징인 HTTPS와 자물쇠 아이콘, 공격자들도 쉽게 따라해
암호화 기술 좋다고 홍보하고 권장하려면 실제 사용 고려한 환경 조성에도 힘써야


[보안뉴스 문가용 기자] SSL 인증서를 공격에 이용하는 사이버 범죄자들이 늘어나고 있다. 브라우저의 주소창에 HTTPS라는 글자와 자물쇠 아이콘이 나오면 안심을 하는 심리를 악용하는 수법이다.


[이미지 = iclickart]

HTTPS는 현재 ‘안전한 트래픽’의 상징처럼 도입되고 있는 중이다. 이미 일반 인터넷 사용자들 중에서도 HTTPS를 알아보고 선호하는 사람들이 늘어나고 있다. 구글이 검색 결과에서 HTTPS를 활용하는 웹사이트를 제일 먼저 노출시키는 등 가장 HTTPS 도입을 강력하게 추진하고 있기도 하다. 크롬과 파이어폭스와 같은 브라우저들은 사용자가 HTTPS가 아닌 곳에 접속할 경우 경고 메시지를 내보내고 있기도 하다.

하지만 사이버 범죄자들이 가짜로 사이트를 만들어 HTTPS라는 글자를 주소창에 띄우는 것이 그리 어려운 일이 아니다. 렛츠인크립트(Let┖s Encrypt)와 같은 조직들이 무료로 인증서를 배포해주기 때문이다. 피싱 콘텐츠를 호스팅하든 정상적인 콘텐츠를 활용하든 상관없이 HTTPS를 전도하다보니 생기는 일이다.

보안 업체 멘로 시큐리티(Menlo Security)의 CTO인 코우식 구루스와미(Kowsik Guruswamy)는 자사 블로그를 통해 “최근 HTTPS 웹사이트들을 조사한 결과 47.1%에서 취약헌 서버 소프트웨어, 오래된 아파치(Apache), 드루팔(Drupal), 워드프레스(WordPress)가 발견되었다”고 썼다. 뿐만 아니라 41.5%는 분류가 되지 않으며, 10.7%는 피싱용 웹사이트라는 것도 발견됐다고 한다.

또한 브라우저가 아닌 다른 곳에서 발생하는 트래픽의 67%는 SSL로부터 발현하는 것으로 나타났다. 이런 트래픽은 주로 엔드포인트의 에이전트들이 업데이트를 다운로드 받기 위해 생성하는 것이다. 문제는 SSL 트래픽을 검사하는 과정이 사실상 없는 것과 마찬가지라는 것이다. 구루스와미는 “피싱 링크나 드라이브 바이 다운로드를 SSL에 호스팅 하면 아무도 검사하지 않기 때문에 공격을 쉽게 성공시킬 수 있다”고 말할 정도다.

그렇다면 왜 SSL 검사를 하지 않는 걸까? 구루스와미는 “프라이버시 문제 때문”이라고 말한다. SSL 트래픽의 내용물을 검사하는 것이 사생활 침해로 이어질까봐 할 수 없는 것이다. “네트워크 속도 향상을 위해 SSL 검사를 회피하기도 합니다. SSL을 복호화 하기 시작하면 방화벽과 온프레미스 프록시들이 4~5배 정도 느려지는 게 흔한 일이기 때문이죠. SSL 검사를 하지 않으면 장비를 4~5배 더 돌릴 수 있다는 뜻도 됩니다.”

결국 생산성을 포기할 수 없기 때문에 SSL 트래픽을 검사하지 않는다는 것. “SSL이 트래픽을 암호화 해주기 때문에 정보 보호에 도움이 된다고 적극 권장해왔지만, 필요한 때 복호화 하는 기술은 그만큼 발전하지 않았습니다. 그래서 복호화가 SSL만큼 확산되지 않고 있는 것이죠.”

구루스와미는 “암호화 기술은 정보 보안의 기본 구성 요소이고, HTTPS와 SSL과 같은 장치가 보안에 도움이 되는 것은 확실한 것이지만, 이를 실제로 활용할 수 있는 환경을 갖추는 것도 중요하다”고 강조했다.

“한쪽에서는 HTTPS가 좋으니 널리 쓰자고 하고, 다른 한쪽에서는 프라이버시가 중요하다고 강조하니 HTTPS 안쪽을 들여다 볼 방법은 효과적으로 개발되지 않고 있지요. SSL이 안전하다고 하지만 복호화를 위한 환경은 채 갖춰지지 않고 있고요. 그러니 암호화 기술이 오히려 공격자들의 도구가 되고 있는 겁니다. 하나의 기술이 갖는 복합적인 영향력을 고려해 실제 사용을 권장하고 보편화시켜야 합니다. 기술 하나하나에 너무 의존해서는 불균형 문제가 생기고, 그 불균형은 반드시 악용됩니다.”

3줄 요약
1. 암호화 트래픽인 HTTPS와 SSL, 공격자들이 악용하는 사례 늘어나고 있음.
2. HTTPS 트래픽의 10%가 피싱, 40% 이상이 ‘정체 알 수 없음’으로 분류됨.
3. SSL 트래픽도 검사 장치가 사실상 없기 때문에 피싱과 드라이브 바이 다운로드 공격에 활용될 가능성 높음.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

이전 스크랩하기

과월호 eBook List 정기구독 신청하기

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

PC버전

닫기