2024-03-29 17:15 (금)
SSL과 TLS, CBC 모드 선택평문 공격 취약점 존재
상태바
SSL과 TLS, CBC 모드 선택평문 공격 취약점 존재
  • 길민권
  • 승인 2011.10.04 01:59
이 기사를 공유합니다

SSL프로토콜 버전3.0 및 TLS프로토콜 버전1.0에서 취약점 발생
[박춘식 교수의 보안이야기] 일본정보처리기구 시큐리티 센터(IPA/ISEC) 및 JPCERT (JPCERT/CC)는 9월 28일, 인터넷 암호화 통신 프로토콜 SSL프로토콜 및 TLS프로토콜의 CBC모드에 선택평문 공격의 취약성이 존재한다고 ‘Japan Vulnerability Notes(JVN)’에 발표했다.
 
이제 이러한 취약성을 사용한 공격방법이 공개되었다. SSL프로토콜 버전3.0 및 TLS프로토콜 버전1.0에는、CBC모드로 동작하는 경우, 초기화 백터(IV)의 결정 방법에 문제가 있어, 선택평문 공격을 받는 취약성이 존재한다.
 
단, TLS 1.1및 TLS 1.2는 이러한 취약성의 영향을 받지 않는다. 이러한 문제가 악용되면 암호화 통신이 중간자 공격 (man-in-the-middle attack)에 의해서 도청된 경우, 그 내용이 복호화 될 가능성이 있다.
 
현시점에서는 대책 방법이 공개되어 있지 않으며, JVN에서는 TLS 1.1 및 TLS 1.2를 사용하도록 하거나 또는 RC4 알고리즘을 우선해서 사용하면 이러한 취약성의 영향을 경감할 수 있다고 한다. [박춘식 서울여자대학교 정보보호학과 교수]
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★