고객만족센터

ID·PW는 암호화 잘 되어 있지만 데이터 송수신 구간 보안에 취약  
SSL/TLS 적용과 함께 서버 인증서 1024-bit 이상 서명키 가져야  

[보안뉴스 김태형] 국내 온라인 쇼핑몰·포털사 등의 중요정보 전송 채널의 암호화가 ID·PW에 비해 상대적으로 취약하다는 문제가 제기됐다.
최근 한국인터넷진흥원(KISA)과 박원형 극동대학교 교수는 서울과학기술대 융합보안연구팀(지도교수 국광호)과 함께 국내 여러 사이트들의 데이터 송수신 구간의 암호화 여부를 분석, 암호화 취약점에 대한 문제점을 지적했다.
본지에서는 지난 4월 18일자에 ‘구멍 뚫린 쇼핑몰 신용카드 결제 시스템!’이라는 제하의 기사에서 인터넷 쇼핑몰의 결제시스템의 허점을 이용해 제품가격을 조작하여 고가의 제품을 헐값으로 사는 방법이 있다고 보도한 바 있다.

이 기사의 주요 내용은 인터넷 쇼핑몰 결제 시스템의 문제점으로 주문 페이지의 경우 암호화가 되어 있지 않아 전문 해커가 아니더라도 쉽게 주문결제 정보를 조작할 수 있다는 것.

이에 본 연구를 주도한 한국인터넷진흥원(KISA)과 박원형 교수는 인터넷 쇼핑몰뿐만 아니라 주요 포털을 비롯해 메신저, SNS 등 우리가 가장 빈번히 사용하고 있는 주요 인터넷 사이트를 선정해 연구·조사를 진행했다.
점검대상으로 우리나라 주요 포털, 메일, 메신저, SNS, 인터넷폰(VoIP), 게임포털, 쇼핑몰, 클라우드 서비스 분야의 사용자 방문이 많은 사이트를 선정했으며, 유·무선 구간에 대한 ID/PW와 데이터 통신 암호화 여부에 대한 조사를 진행한 것으로 알려졌다.

박 교수는 “이번 조사결과 유·무선 구간에서 ID/PW 부분에서는 암호화가 대부분 잘 되어 있어 스니핑으로 인한 ID/PW 노출시에도 안전한 결과를 얻었다”면서 “하지만 ID/PW 이후 데이터 송수신 구간에서 일부 포털과 쇼핑몰을 제외한 많은 사이트는 암호화가 설정되어 있지 않아 보안에 취약하다는 것을 밝혔다”고 말했다.

특히, 주요 메일 서비스, 메신저, 인터넷폰, 클라우드 서비스 등 전 영역에 걸쳐 암호화가 이뤄지지 않았다는 것.

또한, 그는 “조사한 결과 암호화 방식이 대부분 동일한 기술을 사용하고 있어 미국 국립표준기술연구소(NIST)에서 권고한 암호화 방식보다는 보안강도가 낮은 암호화 방식을 사용하고 있었다”고 말했다.

박 교수는 “이번 연구를 위해 조사한 어느 포털사의 경우 주소록 서비스를 이용하는 사용자들이 로그인할 때는 ID 및 PW가 암호화되어 노출되지 않지만 저장된 주소록을 조회하거나 신규 연락처 추가 및 열람에 대한 암호화는 적용되어 있지 않아 쉽게 노출됐다”고 덧붙였다.

이에 대해 박 교수는 “이러한 취약점을 개선하기 위해서는 한국인터넷진흥원(KISA)의 권고사항인 ‘SSL(Secure Socket Layer : 보안 소켓 계층)/TLS(Transport Layer Security : 전송 계층 보안)’를 적용하거나 관련 솔루션을 도입할 때 제품이 표준에 맞게 구현됐는지 상호 호환성을 보장하는지, 검증된 제품인지, 오픈 소스를 이용하는지 등을 확인해야 한다”면서 “RSA 서명키를 가지는 모든 서버 인증서는 가능하면 1024-bit 이상의 키를 가질 것을 권고한다”고 말했다.




[기사전문보기]