HTTPS로부터 세션 쿠키를 해독할 수 있다는 것이 해외 보안전문가에 의해 증명됐다. 이들은 SSL/TLS 암호화를 깨기 위한 BEAST(Browser Exploit Against SSL/TLS)툴을 만들고 시연도 해 보였다. TLS의 모든 버전에서 이런 문제가 발생하고 있다는 것.
 
그들은 이 공격의 이름을 ‘CRIME’이라고 명명하고 있다. CRIME공격은 TLS 1.0에 특별한 기능에 취약한 부분을 공격한다. 그러나 정확히 그 기능이 무엇인지 그들은 공개하지 않고 있다. 그들은 이러게 말한다. “TLS 1.2를 포함한 TLS/SSL의 모든 버전이 위험하다.
 
만약 공격자들이 쿠키를 가지고 있으면, 어떤 웹사이트건 유저의 로그인 정보를 빼내 다른 곳으로 빼돌릴 수 있다.
 
HTTPS는 세션 하이제킹을 막아야 한다. 왜냐면 브라우저 안에 저장되거나 전송할 때 그것이 세션 쿠키들을 암호화하기 때문이다. 그러나 이 새로운 공격은 그것을 복호화할 수 있다.
 
이 공격 코드는 하나의 에이전트로 알려져 있고 이는 희생자 브라우저 내부에 로드될 수 있다. 감염자가 PC로 웹사이트를 방문하면 추적하고 만약 공격자가 사용자 네트워크를 통제할 수 있다면 어떨까. 이는 HTTP 커넥션에 있는 공격코드를 주입시키면서 희생자 PC를 장악하게 되는 것이다.
 
CRIME은 브라우저 플러그인을 요구하지 않고 자바스크립트는 그것을 더 빠르게 동작시키기 위해 필요하다.
 
공격자들은 빅팀의 HTTPS 트래픽을 스니핑할 수 있다. 또 ARP스푸핑과 같은 기술을 이용해서 로컬영역 네트워크에서 혹은 무선 네트워크에 침입할 수 있다. 또 취약점이나 디폴트 패스워드를 통해 빅팀의 집 라우터도 컨트롤 할 수 있다.
 
한편 CRIME은 모질라 파이어폭스와 구글 크롬에서 성공적으로 테스트를 마쳤다고 한다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com