PGR21.com
- 자유 주제로 사용할 수 있는 게시판입니다.
- 토론 게시판의 용도를 겸합니다.
Date 2023/02/14 12:34:20
Name Regentag
Subject [일반] TLS 보호 약화하기, 한국 스타일
관련 글
1. [막다른 골목에 다다른 한국의 온라인 보안 실태]
  https://cdn.pgr21.com./freedom/97640
2. [TouchEn nxKey 취약점 공개] (졸업님의 글입니다)
  https://cdn.pgr21.com./freedom/97663
3. [TouchEn nxKey 취약점 공개에 대한 개발사의 입장]
  https://cdn.pgr21.com./freedom/97695
4. [IPinside LWS Agent 취약점 공개]
  https://cdn.pgr21.com./freedom/97770

지난 글들에서 이어집니다.

보안 전문가인 블라디미르 팔란트는 한국의 온라인 보안 실태에 대해 비판하면서, 국내에서 사용되는 보안 프로그램들의 취약점을 발견하여 보고하였고 관례에 따라 90일 뒤에 공개할 것임을 밝혔었습니다. (관련 글 1. 참조)

제가 미처 신경쓰지 못해 이번에 공개된건 pgr에 글이 좀 늦었습니다.

이번에 공개된 내용은 한국의 보안 소프트웨어들이 사용자 PC에 설치하는 루트 인증서에 대한 내용입니다.
전체 내용(한국어 번역)은 여기에서 보실 수 있습니다.
https://github.com/alanleedev/KoreaSecurityApps/blob/main/03_weakening_tls_protection.md

요약 내용은 GeekNews에서 퍼왔습니다.
https://news.hada.io/topic?id=8412
====
• 한국 보안 프로그램들이 로컬 서버에서 TLS 사용을 위해 [비공인 자체 인증기관을 PC에 설치]한다.
• 이들 인증기관에서 사용하는 비밀키에 대해서는 보안상 잘 관리가 되야하지만 이것을 강제하는 법이나 외부 감참 등이 없기 때문에 이것을 설치한 업체가 보안 유지를 잘 하기를 믿어야 한다.
• 하지만 이전 글에서 보았듯이 과연 업체들이 얼마나 잘 보안을 유지할지는 의문이다.
• 만약 비밀키가 유출시에는 한국에 많은 사람들이 웹사이트 사칭위험에 노출될 수 있다.
• 자체 인증기관 설치시 좀 더 안전한 방법과 사례를 제시한다.
====

인증서는 TLS(HTTPS)와 같은 보안 연결의 기반이 됩니다. 상대방이 신뢰할 수 있는 대상인지 알 수 있게 해 주죠. 루트 인증서는 상대방의 인증서가 신뢰할 수 있는 기관에서 발급되었는지 확인하기 위해 사용됩니다.

PC에 루트 인증서를 추가한다는것은 해당 기관을 통해 발급한 인증서를 무제한으로 신뢰하겠다는 뜻이 되죠. 그런데 그 기관이 인증서 발급을 제대로 관리하지 못한다면 심각한 보안 문제가 됩니다.

한국은 인증서 관리가 잘 되지 않는 국가입니다. 과거 2017년에 시만텍의 인증서 발급을 대행하던 한국전자인증의 인증서 부정발급(와일드카드 인증서 발급)이 문제가 된 사례가 있었습니다. 이 사건의 여파로 시만텍은 인증서 발급사업을 매각하고 시장에서 철수했습니다.
https://n.news.naver.com/mnews/article/092/0002114313?sid=105

2018년에는 정부 인증서(GPKI) 발급 과정에서 *.co.kr, *.go.kr 등 와일드카드 인증서를 발급하는 사고를 친 적도 있습니다.
https://m.clien.net/service/board/lecture/11964196

https://www.mois.go.kr/frt/bbs/type001/commonSelectBoardArticle.do?bbsId=BBSMSTR_000000000009&nttId=62842

와일드카드 인증서는 위의 클리앙 글에서 잘 설명했다시피 중간자공격에 활용될 수 있습니다(HTTPS 패킷을 까 볼수 있는거죠). 따라서 이런 위험이 있는 와일드카드 인증서의 발급은 금지되어 있습니다.

일련의 사건들로 인해서 모질라의 파이어폭스 브라우저는 더 이상 GPKI는 신뢰하지 않고 있죠.

통합규정 1.3 이용안내 인용

"Pgr은 '명문화된 삭제규정'이 반드시 필요하지 않은 분을 환영합니다.
법 없이도 사는 사람, 남에게 상처를 주지 않으면서 같이 이야기 나눌 수 있는 분이면 좋겠습니다."
라바니보
23/02/14 12:58
수정 아이콘
제 3의 기관에 의한 인증서 검증방식이 인터넷 표준으로 알고있는데 이 방식은 도대체 왜 안쓰는 걸까요...
내가 낸데.... 으의? 이런 마인드는 아니겠죠.
개발괴발
23/02/14 18:20
수정 아이콘
가장 대표적인 이유는, 유명한 루트 인증기관(Verisign 등)으로부터 인증서를 받고 갱신하고 하는 건 [오래]걸리거든요.
(짧아야 3~5영업일, 많이 걸리면 2~3주 걸리기도 하지요. 그나마 요새 HTTPS SSL 인증서는 좀 빨리 되더라만..)
빨리빨리가 기본인 한국적 감수성이 부족한 루트 인증기관들 때문에 그렇습니다?
Regentag
23/02/14 22:06
수정 아이콘
많은 보안 프로그램들이 PC에 웹서버를 설치하고 브라우저 플러그인과 통신하는 방식으로 작동합니다. 그렇기 때문에 PC(127.0.0.1)에 HTTPS로 접근할 필요가 있습니다.
여기에 필요한 인증서를 제대로 된 루트 인증기관에서 발급받기가 어려운게 아닐까 합니다.
담배상품권
23/02/14 12:59
수정 아이콘
하, 쓰레기들.
한국 보안은 소송책임 없애기 위한 비용을 소비자한테 전가하는것일 뿐이군요
DownTeamisDown
23/02/14 14:25
수정 아이콘
이 원인은 다 돈을 안쓰려고 하는겁니다.
표준에 맞춰서 개발하려면 표준을 아는사람을 써야하는데 귀찮으니까 보안 다 풀고서 만든거죠.
우스타
23/02/14 15:42
수정 아이콘
와일드카드 인증서는 정말 실수였을까요?
-안군-
23/02/14 18:08
수정 아이콘
왠지.. 테스트하려고 만든 인증서를 그냥 풀어버린거 아닌가 하는 생각이 드네요.
정부기관 관련 일을 해보면 알게되는게... 예네는 요구사항이 충족되기만 하면 그만입니다. 보안이나 퍼포먼스나 등등.. 디테일엔 별 관심이 없어요. 어차피 검증하는 사람들도 비전문가거든요.
Regentag
23/02/14 22:00
수정 아이콘
정부기관에서 일이 어떻게 돌아가는지 아는 입장에서 생각해보면 그냥 담당자가 저게 무슨의미인지 잘 몰랐을 가능성이 높아보입니다.
아마 처음엔 뭘 잘못했는지도 몰랐을거에요.
개발괴발
23/02/14 18:18
수정 아이콘
보안은 기본적으로 [안되요 비표준이에요 그런건 반칙이에요]를 달고 살아야 되는 업무라
솔직히 윗사람들(보통은 정부관계자)한테 이쁨받기 힘든 조직입니다 =_=
그래서 모양새는 그럴듯하지만 사용은 편리-_-하게, 빠-_-르게를 자꾸 요구 받는 조직이기도 하고요...
Regentag
23/02/14 22:09
수정 아이콘
"이렇게 하면 보안도 강화되고 사용자도 편해져요"라고 제시하면 [안돼, 보안은 무조건 불편해야 하는거야]라는 반응도 의외로 흔하게 보입니다.
불편하면 사용자는 보안에 취약한 다른 방법을 찾는데 말이죠. 외울 수 없는 랜덤 비밀번호 사용을 강제하면 포스트잇에 써서 모니터에 붙인다던가 하는 식으로요.
23/02/14 18:35
수정 아이콘
파폭 유저이자 모질라 재단 후원 경험 있는 1인 임장에서 쪽팔렸던 사건 중 하나가
저래놓고 모질라 포럼 와서 왜 우리 인증서 신뢰 안해주냐고 정부부처들 와서 키배 벌이다가 처발렸던 해프닝이었습니다
목록 삭게로! 맨위로
번호 제목 이름 날짜 조회 추천
98246 [일반] [WBC] 다르빗슈 유는 Team JAPAN에 있어서 어떤 존재였나 [38] Nacht10623 23/03/23 10623 22
98245 [정치] 내년 총선 방식을 결정지을 선거구제 개편안이 3종 [41] 빼사스9791 23/03/23 9791 0
98244 [정치] ”세월호처럼 분노 분출시켜라” 北, 핼러윈 뒤 민노총에 지령 [212] dbq12320576 23/03/23 20576 0
98243 [정치] 세대포위론의 흥망성쇠 [68] 베놈10266 23/03/23 10266 0
98242 [정치] 국회의원 반말 금지법이 필요합니다. [28] 덴드로븀9663 23/03/23 9663 0
98241 [정치] 尹 “日소부장, 경쟁국에 뺏길라” [169] 동훈16147 23/03/23 16147 0
98240 [일반] 스압) AI로 만들어 본 레트로 애니메이션 느낌 그림들 [42] 안초비13481 23/03/23 13481 18
98239 [일반] 2023 WBC 후기 [48] 민머리요정12947 23/03/22 12947 58
98237 [정치] 노무현은 시대정신이 낳은 미숙아인가? [155] 노틀담의곱추19856 23/03/22 19856 0
98236 [정치] '4895억 배임·133억 뇌물' 이재명 기소…1년 6개월만(종합) [336] 아수날23921 23/03/22 23921 0
98235 [정치] 외국인 가사도우미 법안이 발의 후 철회, 재발의되었습니다. [74] 계층방정16101 23/03/22 16101 0
98234 [일반] Z세대의 위기와 해결책: 조너선 하이트 교수의 주장에 공감하는 이유 [31] 딸기거품11912 23/03/22 11912 7
98232 [정치] 국회로 번진 ‘챗 GPT’ 열풍…“법안도 축사도 AI로” [45] 기찻길14518 23/03/21 14518 0
98231 [일반] <이니셰린의 밴시> - 본질 없는 사건이 커지듯.(노스포) [24] aDayInTheLife7797 23/03/21 7797 2
98230 [일반] 오늘 있었던 해군 2함대 소속 4척의 기동훈련 [16] 아롱이다롱이10088 23/03/21 10088 0
98229 [일반] [할인] 리디페이퍼 4 + 전자책 450권 = 242,000원 [60] 아케르나르12285 23/03/21 12285 1
98228 [일반] 기가바이트 4070 12GB,4060 8GB 확인 [29] SAS Tony Parker 10336 23/03/21 10336 0
98227 [정치] MZ노조가 온다 [69] 졸업19032 23/03/21 19032 0
98226 [정치] 작년 바이든 사건.. 미국은.. [41] 대장햄토리14276 23/03/21 14276 0
98225 [정치] “2026년 7월 출범 목표”...‘경기북부특별자치도’ 청사진 제시 [78] 바둑아위험해12471 23/03/21 12471 0
98223 [정치] 오늘자 국무회의 중 윤석열 대통령 발언 (한일정상회담 + 근로시간) + 회담내용관련 공방 [139] 덴드로븀17281 23/03/21 17281 0
98222 [일반] 2022년 개봉 한국영화 흥행성적표 [76] theo11111 23/03/21 11111 6
98221 [정치] 윤석열 대통령 일본 관련 타임라인 [169] 빼사스20801 23/03/21 20801 0
목록 이전 다음
댓글

+ : 최근 1시간내에 달린 댓글
+ : 최근 2시간내에 달린 댓글
맨 위로