접속 막힌 불법사이트.. SNI 필드 차단이 뭔가요?

 뉴딜코리아 홈페이지

접속 막힌 불법사이트.. SNI 필드 차단이 뭔가요?

정부가 더 강력한 불법사이트 차단 기술을 적용함에 따라 음란물, 폭력, 마약 등 불법 정보를 담은 해외 유해사이트 접근이 원천 차단됐다.

방송통신위원회는 12일 "불법음란물, 불법도박 등 불법 정보를 유통하는 해외 인터넷 사이트를 우회해서 접속하는 것을 막기위해 접속 차단 기능을 고도화했다"고 밝혔다.

11일 이후 국내 이동통신 3사를 이용 중인 사용자는 정부가 불법으로 지정한 해외 홈페이지에 접속하더라도 '연결할 수 없음'이라는 표시가 뜨게 되었다.

때문에 일각에선 표현의 자유를 위축시키고 정부가 인터넷 감청과 검열을 시도하는 것이라는 비판이 제기되고 있다.

차단에 이용된 기술은 원래 보안 취약점?

이번 접속차단에 활용된 기술은 'SNI(Server Name Indication) 필드' 차단이다.

SNI는 실제 홈페이지(IP주소)는 하나이지만 여러 주소(URL)로 접속할 수 있도록 홈페이지를 구성할 때 홈페이지 보안 인증서가 사용자에게 제대로 전달되지 않는 문제를 해결하기 위해 만든 기술이다.

현재 널리 이용되고 있는 통신 암호화 기술인 TLS 1.2(https)는 SNI 필드가 제대로 작동하도록 통신이 시작되기 전 인증 과정에서 특정 영역(도메인)을 암호화하지 않고 있다.

이렇게 인증서를 주고받기 앞서 도메인 정보가 암호화되지 않는 것은 TLS 1.2의 대표적인 보안 결함으로 꼽히고 있다.

이러한 문제를 해결하기 위해 지난해 8월 애플(사파리), 모질라재단(파이어폭스), 구글(크롬), 클라우드플레어 등 인터넷 관련 업체들이 모여 신규 암호통신 표준인 TLS 1.3을 제안한 상태다.

즉, 정부는 TLS 1.2의 보안 취약점을 활용해 불법 홈페이지 차단을 시행한 셈이다.

정부가 불법 홈페이지를 차단하기 위해 가장 먼저 이용한 방법은 단순 URL 주소 차단이다.

 하지만 통신 정보가 암호화되는 https를 활용하면 쉽게 무력화되는 단점이 있었다.

이를 해결하기 위해 DNS(Domain Name System, 숫자로 된 IP 주소를 영어나 한국어로된 일반 주소로 바꿔주는 기술)를 활용한 차단법을 선보였다.

하지만 이 역시 앱이나 프로그램 등으로 손쉽게 우회할 수 있었다.

완벽한 불법 홈페이지 차단법을 찾다가 결국 통신 감청으로 이해될 수도 있는 SNI 필드 차단이란 극단적인 선택까지 한 것으로 풀이된다.

이제 막 시작된 TLS 1.3... 완벽한 통신 보안은 언제 가능할까

정부의 이번 SNI 필드 차단은 TLS 1.3이 적용된 웹 브라우저와 서버에는 적용되지 않는다.

인증서를 주고받기 앞서 도메인 정보까지 모두 암호화하기 때문이다.

하지만 TLS 1.3은 이제 막 발걸음을 뗀 기술이다.

웹 브라우저에는 하나둘씩 관련 기술이 적용되고 있지만, 호스팅 서비스를 제공하는 업체들은 아직 TLS 1.3에 맞게 서버 업그레이드를 실시하지 않았다.

최신 버전 크롬, 파이어폭스, 사파리 등에선 TLS 1.3를 이용할 수 있으나, TLS 1.3이 적용된 서버 업체는 미국의 클라우드플레어가 유일하다.

TLS 1.2는 2008년에 개발된 기술임에도 본격적으로 웹 환경에 적용되기까지 5년이 넘는 시간이 걸렸다.

TLS 1.3 역시 업체들의 이해관계 때문에 모든 웹 브라우저와 서버(웹 사이트)에 적용되려면 다소 시간이 걸릴 전망이다.

한 업계 관계자는 "TLS 1.3이 활성화되려면 결국 호스팅 업체들의 기술 업그레이드가 필요하다"며, "미국의 호스팅, 클라우드 업체를 중심으로 TLS 1.3을 지원하려는 움직임이 활발해지고 있다"고 밝혔다.

TLS 1.3 활성화 방법

크롬: URL 창에 'chrome : // flags' 입력 후 TLS 1.3을 검색해서 활성화

파이어폭스: URL 창에 'about : config' 입력 후 'security.tls.version.max'를 검색해서 기본값을 3에서 4로 변경

두 웹 브라우저 모두 기본적으로 TLS 1.3이 꺼져있다.

TLS 1.2와 완벽환 호환을 보장할 수 없기 때문이다.

따라서 TLS 1.3가 적용된 홈페이지를 접속하고 난 후 다시 설정을 원래대로 돌려주는 편이 좋다.

글 / IT동아 강일용

컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 

취약점 진단 및 모의 침투

개인정보 비식별화 솔루션

보안솔루션 공급
070-7867-3721, ismsbok@gmail.com

 

불법정보를 유통하는 해외 인터넷사이트 차단 (방통위, 2019.02.12)

 뉴딜코리아 홈페이지 

불법정보를 유통하는 해외 인터넷사이트 차단 강화로 피해구제 확대
- 보안접속(https) 또는 우회접속 관련 차단기능 고도화 -

방송통신위원회는 불법음란물 및 불법도박 등 불법정보를 보안접속(https) 및 우회접속 방식으로 유통하는 해외 인터넷사이트에 대한 접속차단 기능을 고도화하고, 2월 11일 방송통신심의위원회의 통신심의 결과(불법 해외사이트 차단결정 895건)부터 이를 적용한다.

https(hypertext transfer protocol over Secure Sockets Layer, 하이퍼텍스트 보안 전송 프로토콜) : 인터넷에서 데이터를 암호화된 방식으로 주고 받는 통신규약. HTTP의 보안기능이 강화된 버전으로 해커가 중간에 데이터를 가로챌 수 없음

우회접속 : IP(Internet Protocol) 및 DNS(Domain Name System) 변조 소프트웨어, 통신Port 변경 등을 활용하여 접속차단 기술을 우회하는 접속

지금까지 보안접속(https) 방식의 해외 인터넷사이트에서 불법촬영물, 불법도박, 불법음란물, 불법저작물 등 불법정보가 유통되더라도 해당 사이트 접속을 기술적으로 차단할 수가 없어, 법 위반 해외사업자에 대한 법집행력 확보 및 이용자의 피해 구제에는 한계가 있었다.

불법정보를 과도하게 유통하는 일부 해외 인터넷사이트는 예외적으로 해당 사이트 전체를 차단하기도 했으나, 이는 표현의 자유 침해나 과차단의 우려가 있었다.

이에 따라 방송통신위원회, 방송통신심의위원회와 7개 인터넷서비스제공사업자(Internet Service Provider)는 작년 6월부터 해외 사이트의 불법정보를 효율적으로 차단하는 새로운 차단방식인 SNI(Sever Name Indication) 차단방식을 도입하기로 협의하고, 관련 시스템의 차단 기능을 고도화하였다.

7개 인터넷서비스제공사업자(Internet Service Provider) : KT, LG유플러스, SK브로드밴드, 삼성SDS, KINX, 세종텔레콤, 드림라인

SNI 차단방식은 암호화 되지 않는 영역인 SNI 필드에서 차단 대상 서버를 확인하여 차단하는 방식으로 통신감청 및 데이터 패킷 감청과는 무관하다.

특히, 아동 포르노물ㆍ불법촬영물ㆍ불법도박 등 불법사이트를 집중적으로 차단할 계획이다.

다만, 새로운 차단방식의 기술특성상 이용자가 차단된 불법 인터넷사이트 접속을 시도할 때, 해당 사이트의 화면은 암전(black out) 상태로 표시되며, 「해당 사이트는 불법으로 접속이 불가능하다」는 불법·유해정보 차단안내(warning.or.kr)나 경고문구가 제공되지 않는다.

이에 이용자의 혼선 방지를 위하여 인터넷서비스제공사업자는 고객센터에서 차단된 불법 인터넷사이트의 정보를 안내하고, 방송통신위원회, 문화체육관광부 등 유관부처에서는 새로운 접속차단 방식의 시행과 관련한 대국민 홍보를 진행할 예정이다

방송통신위원회 이용자정책국장은 “국내 인터넷사이트와 달리, 그동안 법 집행 사각지대였던 불법 해외 사이트에 대한 규제를 강화하라는 국회, 언론의 지적이 많았다.

앞으로 불법 해외 사이트에 대해서도 효과적으로 차단할 수 있을 것으로 기대된다”며, “디지털성범죄 영상물로 고통 받고 있는 피해자의 인권 보호와 웹툰 등 창작자의 권리를 두텁게 보호하고 건전한 인터넷환경 조성을 위해 다각도로 노력하겠다”고 밝혔다.

출처 : 방송통신위원회

컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 

취약점 진단 및 모의 침투

개인정보 비식별화 솔루션

보안솔루션 공급
070-7867-3721, ismsbok@gmail.com

 

주요 웹 브라우저 2020년 TLS1.0 및 TLS1.1 통신 지원 중지

주요 웹 브라우저 2020년 TLS1.0 및 TLS1.1 통신 지원 중지

(BROWSER VENDORS UNITE TO END SUPPORT FOR 20-YEAR-OLD TLS 1.0)

Chrome, Firefox, Edge, Safari, Explorer를 포함한 주요 웹 브라우저가 2020년에 TLS 1.0 및 TLS 1.1 통신에 대한 지원을 중지한다고 발표

■ TLS의 초기버전인 TLS1.0, TLS1.1은 POODLE 및 BEAST와 같은 다양한 공격에 취약

▷ SSL Protocol을 기반으로 개발된 TLS는 클라이언트-서버 간 안전하고 암호화된 통신 채널을 설정하는데 사용되고 있음

▷ POODLE(Padding Oracle On Downgraded Legacy Encryption) 취약점 : 구식 암호화 기법을 악용할 수 있게 하는 프로토콜 다운그레이드 취약점

▷ BEAST(Browser Exploit Against SSL/TLS) 취약점 : 앤드 유저 브라우저에서 HTTPS의 쿠키들을 해독하고 효과적인 타킷의 세션을 하이제킹할 수 있는 취약점

▷ TLS는 현재 1.0, 1.1, 1.2, 1.3(최신)으로 총4개의 버전 존재

■ TLS1.2 이상으로 업그레이드하고 브라우저 옵션에서 TLS1.0, TLS1.1 사용옵션 해제 권장

▷ PCI Data Security Standard(PCI DSS)*, Gitlab 등 업체들이 올해 안에 하위 버전 지원 중단

  * 신용카드 회원의 카드정보 및 거래정보를 안전하기 관리하기 위해 신용카드 결제전 과정에 결쳐 준수하여야 하는 신용업계 보안표준

▷ Google, Microsoft, Apple, Mozilla 등 4대 주요 회사는 2020년 상반기에 TLS1.0 및 TLS1.1 지원을 완전히 삭제 예정

▷ MS는 이미 많은 웹사이트가 새로운 버전의 프로토콜로 이동하였으며, 현재 사이트의 94%가 TLS1.2를 지원하고 있음

[참고]

https://thehackernews.com/2018/10/web-browser-tls-support.html

https://cyberdynesystems.ai/chrome-firefox-edge-and-safari-plans-to-disable-tls-1-0-and-1-1-in-2020/

https://anith.com/browser-vendors-unite-to-end-support-for-20-year-old-tls-1-0/

https://cafe.naver.com/rapid7/3329

컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 

취약점 진단 및 모의 침투

보안솔루션 공급
070-7867-3721, ismsbok@gmail.com

HTTPS 암호 트래픽 분석방법 (V1)

카페 > 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2301

HTTPS 암호 트래픽 분석방법 (V1)
( Analyzing HTTPS Encrypted Traffic to Identify User Operating System, Browser and Application)

본 자료에서는 외부 공격자가 운영 체제, 브라우저 및 HTTP 암호화 된 트래픽의 응용 프로그램 (HTTPS)을 식별 할 수 있음을 보여준다.

본 자료의 한글파일이 필요한분은 별도 연락 바랍니다
(뉴딜코리아 컨설팅사업부 : 070-7867-3721, ismsbok@gmail.com)