PGR21.com
- 자유 주제로 사용할 수 있는 게시판입니다.
- 토론 게시판의 용도를 겸합니다.
Date 2023/02/14 12:34:20
Name Regentag
Subject [일반] TLS 보호 약화하기, 한국 스타일
관련 글
1. [막다른 골목에 다다른 한국의 온라인 보안 실태]
  https://pgr21.net/freedom/97640
2. [TouchEn nxKey 취약점 공개] (졸업님의 글입니다)
  https://pgr21.net/freedom/97663
3. [TouchEn nxKey 취약점 공개에 대한 개발사의 입장]
  https://pgr21.net/freedom/97695
4. [IPinside LWS Agent 취약점 공개]
  https://pgr21.net/freedom/97770

지난 글들에서 이어집니다.

보안 전문가인 블라디미르 팔란트는 한국의 온라인 보안 실태에 대해 비판하면서, 국내에서 사용되는 보안 프로그램들의 취약점을 발견하여 보고하였고 관례에 따라 90일 뒤에 공개할 것임을 밝혔었습니다. (관련 글 1. 참조)

제가 미처 신경쓰지 못해 이번에 공개된건 pgr에 글이 좀 늦었습니다.

이번에 공개된 내용은 한국의 보안 소프트웨어들이 사용자 PC에 설치하는 루트 인증서에 대한 내용입니다.
전체 내용(한국어 번역)은 여기에서 보실 수 있습니다.
https://github.com/alanleedev/KoreaSecurityApps/blob/main/03_weakening_tls_protection.md

요약 내용은 GeekNews에서 퍼왔습니다.
https://news.hada.io/topic?id=8412
====
• 한국 보안 프로그램들이 로컬 서버에서 TLS 사용을 위해 [비공인 자체 인증기관을 PC에 설치]한다.
• 이들 인증기관에서 사용하는 비밀키에 대해서는 보안상 잘 관리가 되야하지만 이것을 강제하는 법이나 외부 감참 등이 없기 때문에 이것을 설치한 업체가 보안 유지를 잘 하기를 믿어야 한다.
• 하지만 이전 글에서 보았듯이 과연 업체들이 얼마나 잘 보안을 유지할지는 의문이다.
• 만약 비밀키가 유출시에는 한국에 많은 사람들이 웹사이트 사칭위험에 노출될 수 있다.
• 자체 인증기관 설치시 좀 더 안전한 방법과 사례를 제시한다.
====

인증서는 TLS(HTTPS)와 같은 보안 연결의 기반이 됩니다. 상대방이 신뢰할 수 있는 대상인지 알 수 있게 해 주죠. 루트 인증서는 상대방의 인증서가 신뢰할 수 있는 기관에서 발급되었는지 확인하기 위해 사용됩니다.

PC에 루트 인증서를 추가한다는것은 해당 기관을 통해 발급한 인증서를 무제한으로 신뢰하겠다는 뜻이 되죠. 그런데 그 기관이 인증서 발급을 제대로 관리하지 못한다면 심각한 보안 문제가 됩니다.

한국은 인증서 관리가 잘 되지 않는 국가입니다. 과거 2017년에 시만텍의 인증서 발급을 대행하던 한국전자인증의 인증서 부정발급(와일드카드 인증서 발급)이 문제가 된 사례가 있었습니다. 이 사건의 여파로 시만텍은 인증서 발급사업을 매각하고 시장에서 철수했습니다.
https://n.news.naver.com/mnews/article/092/0002114313?sid=105

2018년에는 정부 인증서(GPKI) 발급 과정에서 *.co.kr, *.go.kr 등 와일드카드 인증서를 발급하는 사고를 친 적도 있습니다.
https://m.clien.net/service/board/lecture/11964196

https://www.mois.go.kr/frt/bbs/type001/commonSelectBoardArticle.do?bbsId=BBSMSTR_000000000009&nttId=62842

와일드카드 인증서는 위의 클리앙 글에서 잘 설명했다시피 중간자공격에 활용될 수 있습니다(HTTPS 패킷을 까 볼수 있는거죠). 따라서 이런 위험이 있는 와일드카드 인증서의 발급은 금지되어 있습니다.

일련의 사건들로 인해서 모질라의 파이어폭스 브라우저는 더 이상 GPKI는 신뢰하지 않고 있죠.

통합규정 1.3 이용안내 인용

"Pgr은 '명문화된 삭제규정'이 반드시 필요하지 않은 분을 환영합니다.
법 없이도 사는 사람, 남에게 상처를 주지 않으면서 같이 이야기 나눌 수 있는 분이면 좋겠습니다."
라바니보
23/02/14 12:58
수정 아이콘
제 3의 기관에 의한 인증서 검증방식이 인터넷 표준으로 알고있는데 이 방식은 도대체 왜 안쓰는 걸까요...
내가 낸데.... 으의? 이런 마인드는 아니겠죠.
개발괴발
23/02/14 18:20
수정 아이콘
가장 대표적인 이유는, 유명한 루트 인증기관(Verisign 등)으로부터 인증서를 받고 갱신하고 하는 건 [오래]걸리거든요.
(짧아야 3~5영업일, 많이 걸리면 2~3주 걸리기도 하지요. 그나마 요새 HTTPS SSL 인증서는 좀 빨리 되더라만..)
빨리빨리가 기본인 한국적 감수성이 부족한 루트 인증기관들 때문에 그렇습니다?
Regentag
23/02/14 22:06
수정 아이콘
많은 보안 프로그램들이 PC에 웹서버를 설치하고 브라우저 플러그인과 통신하는 방식으로 작동합니다. 그렇기 때문에 PC(127.0.0.1)에 HTTPS로 접근할 필요가 있습니다.
여기에 필요한 인증서를 제대로 된 루트 인증기관에서 발급받기가 어려운게 아닐까 합니다.
담배상품권
23/02/14 12:59
수정 아이콘
하, 쓰레기들.
한국 보안은 소송책임 없애기 위한 비용을 소비자한테 전가하는것일 뿐이군요
DownTeamisDown
23/02/14 14:25
수정 아이콘
이 원인은 다 돈을 안쓰려고 하는겁니다.
표준에 맞춰서 개발하려면 표준을 아는사람을 써야하는데 귀찮으니까 보안 다 풀고서 만든거죠.
우스타
23/02/14 15:42
수정 아이콘
와일드카드 인증서는 정말 실수였을까요?
-안군-
23/02/14 18:08
수정 아이콘
왠지.. 테스트하려고 만든 인증서를 그냥 풀어버린거 아닌가 하는 생각이 드네요.
정부기관 관련 일을 해보면 알게되는게... 예네는 요구사항이 충족되기만 하면 그만입니다. 보안이나 퍼포먼스나 등등.. 디테일엔 별 관심이 없어요. 어차피 검증하는 사람들도 비전문가거든요.
Regentag
23/02/14 22:00
수정 아이콘
정부기관에서 일이 어떻게 돌아가는지 아는 입장에서 생각해보면 그냥 담당자가 저게 무슨의미인지 잘 몰랐을 가능성이 높아보입니다.
아마 처음엔 뭘 잘못했는지도 몰랐을거에요.
개발괴발
23/02/14 18:18
수정 아이콘
보안은 기본적으로 [안되요 비표준이에요 그런건 반칙이에요]를 달고 살아야 되는 업무라
솔직히 윗사람들(보통은 정부관계자)한테 이쁨받기 힘든 조직입니다 =_=
그래서 모양새는 그럴듯하지만 사용은 편리-_-하게, 빠-_-르게를 자꾸 요구 받는 조직이기도 하고요...
Regentag
23/02/14 22:09
수정 아이콘
"이렇게 하면 보안도 강화되고 사용자도 편해져요"라고 제시하면 [안돼, 보안은 무조건 불편해야 하는거야]라는 반응도 의외로 흔하게 보입니다.
불편하면 사용자는 보안에 취약한 다른 방법을 찾는데 말이죠. 외울 수 없는 랜덤 비밀번호 사용을 강제하면 포스트잇에 써서 모니터에 붙인다던가 하는 식으로요.
23/02/14 18:35
수정 아이콘
파폭 유저이자 모질라 재단 후원 경험 있는 1인 임장에서 쪽팔렸던 사건 중 하나가
저래놓고 모질라 포럼 와서 왜 우리 인증서 신뢰 안해주냐고 정부부처들 와서 키배 벌이다가 처발렸던 해프닝이었습니다
목록 삭게로! 맨위로
번호 제목 이름 날짜 조회 추천
97934 [정치] 윤 "은행·통신 경쟁 촉진 지시" [128] 김홍기20393 23/02/16 20393 0
97933 [일반] 별거 없는 s23u 구매 후기(사진없음) [55] 아케르나르10738 23/02/16 10738 2
97932 [정치] 검찰, 이재명 구속영장 청구…제1야당 대표 헌정사상 최초 [489] Davi4ever26363 23/02/16 26363 0
97931 [일반] 서울의 새로운 슬로건을 정해주세요 [92] KOZE15013 23/02/16 15013 1
97930 [일반] 지금까지 개미와 다르다 (앤트맨와스프 퀀텀매니아 후기 스포있음) [26] 노래하는몽상가10117 23/02/15 10117 1
97929 [정치] 정치글을 구경하면서 드는 단상 [71] 도큐멘토리13897 23/02/15 13897 0
97928 [일반] S23 기념, 때리고 싶은 통신사와의 4선 [59] 악질15788 23/02/15 15788 21
97927 [정치] 이재명이 되었으면 윤석열 보다 나았을 지점들1: 행정 [459] 동훈28728 23/02/15 28728 0
97926 [정치] '여성 주차장→가족 주차장'..서울시 조례 개정 추진 [74] 바둑아위험해14866 23/02/15 14866 0
97925 [일반] [스포주의] 앤트맨과 와스프 퀀텀매니아 후기 [42] 세종11126 23/02/15 11126 1
97924 [정치] 지난 대선 윤석열 이재명은 지금 다시봐도 뽑기가 힘들군요 [292] 꽃차17789 23/02/15 17789 0
97921 [정치] 윤석열 대통령, 국민의 힘 명예대표 가능성 [136] 빼사스19721 23/02/15 19721 0
97920 [일반] 중학교 시절 절 따돌림 시킨 사람이 경찰이되어있었네요.. [77] 아노다이징16438 23/02/15 16438 29
97919 [일반] 기술발전으로 무색해진 초기화 [32] 판을흔들어라14815 23/02/14 14815 10
97918 [일반] 왜 예전에는 아이를 많이 낳았을까? [106] 인사걸16740 23/02/14 16740 18
97917 [일반] 울산 600가구모집에 1명 계약 뉴스를 보고 [36] 10214687 23/02/14 14687 3
97916 [일반] 난임지원의 현실. [65] 사업드래군14503 23/02/14 14503 37
97915 [일반] 업무중에 마주하게된 상식논란 (1kbyte 는?) [102] 겨울삼각형15415 23/02/14 15415 0
97914 [일반] TLS 보호 약화하기, 한국 스타일 [11] Regentag11215 23/02/14 11215 7
97913 [일반] 진짜로 소멸됩니다. Internet Explorer 11 [39] Tiny13534 23/02/14 13534 2
97912 [일반] 싱글세를 걷으려면 적어도 나라에서 그만한 책임을 보여야 하지 않나요 [225] sionatlasia19164 23/02/14 19164 25
97911 [일반] 일본, 사실상 싱글세 도입 확실시 [412] 아롱이다롱이17625 23/02/14 17625 1
97910 [일반] 조기 은퇴라니, 로또라도 된건가? [19] 타츠야12093 23/02/14 12093 21
목록 이전 다음
댓글

+ : 최근 1시간내에 달린 댓글
+ : 최근 2시간내에 달린 댓글
맨 위로