HTTPS 웹사이트들의 90%가 알려진 SSL(Secure Sockets Layer) 공격에 취약하다는 내용이 TIM(Trustworthy Internet Movement)에 의해 지난달 26일 발표됐다.     
(이미지 출처. www.trustworthyinternet.org/ssl-pulse/)
 
이 리포트는 SSL Pulse( )라고 불리는 TIM의 새로운 프로젝트에서 나온 데이터에 근거하고 있다. 이 프로젝트는 Alexa라는 웹사이트 분석회사의 탑 리스트에 올라와 있는 100만개 웹사이트를 대상으로 HTTPS 구현의 효과를 분석하기 위해 개발된 Qualys 사의 자동 스캐닝 기술을 사용해 분석된 내용이다.
 
SSL Pulse는 프로토콜이 HTTPS 활성화 웹사이트에 의해 지원받는지, 또 보안 통신을 위해 사용되는 키 길이를 지키고 있는지, 암호화의 강도 등을 체크한다.
 
BEAST(Browser Exploit Against SSL/TLS)는 SSL 3.0의 취약점을 공격한다. 이 취약점은 엔드 유저 브라우저에서 HTTPS의 쿠키들을 해독하고 효과적으로 타깃의 세션을 하이제킹 할 수 있는 취약점이다.
 
TIM은 시큐리티 전문가들로 구성된 테스크 포스를 구성하고 SSL과 CA 시스템에서 수정돼야 할 이슈들을 리뷰하고 있다. 특히 CA(인증기관, Certificate Authorities)들은 지난 몇 년간 해커들이 사기 인증서를 발급하도록 허용했고 해킹공격으로 인증기관 가운데 하나인 DigiNotar는 파산했다.
 
공격에 대한 취약점은 TLS 프로토콜 버전 1.1에서 수정됐다. 그러나 많은 서버들이 오래된 버전이나 취약한 프로토콜인 SSL 3.0과 같은 버전을 사용하고 있다. 이러한 서버들은 SSL 다운그레이드 공격에 취약하다. 이 공격은 클라이언트가 시큐어한 버전을 지원한다 할 지라도 SSL/TLS의 취약한 버전을 사용하도록 속일 수 있다.
 
테스크 포스 맴버들은 페이팔(PayPal)의 CISO인 Michael Barrett과 SSL 프로토콜의 창시자 가운데 한명인 Taher Elgamal 등이 포함돼 있다. 또 구글 크롬의 SSL을 담당하고 있는 Adam Langley, 컨버전스 프로젝트의 창시자 Moxie Marlinspike, Qualys SSL 설립자 Ivan Ristic, 인증기관인 GlobalSign의 CTO(Ryan Hurst) 등이 참가하고 있다.

<참고사이트>
-www.trustworthyinternet.org/ssl-pulse/
[데일리시큐=길민권 기자]