포스팅 내용

국내외 보안동향

[해외보안동향] 중국 SSL MITM 공격 사건 정리 및 공격 원리

중국 SSL MITM 공격 사건 정리 및 공격 원리 


10월 동안 중국에서는 대형 사이트를 대상으로 많은 SSL MITM공격이 발생했습니다. 

SSL MITM 공격이 지속적으로 발생했지만, 이렇게 짧은 시간 내 대량의 SSL MITM 공격이 동시다발적으로 진행된 적은 처음입니다. 언론 일각에서는 홍콩 시위 사진 삭제를 목적으로 중국 정부의 승인 하에 이와 같은 공격이 이루어 졌을 것이라는 추측도 나오고 있습니다. 


※ SSL MITM 사건개요

8월, CERNET망에서 접속하는 Google 페이지에 SSL 인증서 오류 발생, HTTPS 통신이 TLSv2에서 TLSv1으로 변경됨


9월 30일, Yahoo중국 페이지 SSL MITM 공격


10월 2일~6일, MS의 cn.bing.com, login.live.com, outlook.com 페이지 SSL MITM 공격, 부분 지역에서는 DNS도 감염됨


10월 20일, Yahoo 중국 페이지 SSL MITM 공격


10월 21일, iCloud 서버 SSL MITM 공격



SSL MITM 상세 내용


※ 10월 2일~6일, MS login.live.com SSL MITM공격


사용자가 해당 페이지를 방문하면, 브라우저에서 인증서를 신뢰할 수 없다는 경고창을 띄워줍니다. 인증서를 확인하면, 정상 인증서가 아닌 공격자가 만든 가짜 인증서로 교체되어 있는 것을 확인할 수 있습니다.


인증서 관련 경고창


왼쪽이 진짜 SSL 인증서, 오른쪽이 공격자가 만든 가짜 SSL 인증서


※ 10월 20일, Yahoo SSL MITM공격



중국 yahoo 페이지가 SSL MITM 공격에 당했습니다. 홍콩과 미국 페이지를 방문할 때에는 브라우저에서 아무런 경고창도 발생하지 않았는데, 중국 yahoo페이지에 방문하면 브라우저에서 경고창이 발생합니다. 확인 결과, 인증서가 교체된 것으로 밝혀졌습니다. 


※ 10월 21, iCloud SSL MITM 공격


애플은 iCloud서버를 중국으로 옮긴지 얼마 되지 않아 SSL MITM 공격을 당했습니다. 대만에서 접속할 때에는 정상적인 페이지로 이동했지만, 특정지역 아이피를 이용하여 접속하면, 공격자가 바꿔 놓은 인증서가 노출되었습니다. 


진짜 SSL인증서                   


변조된 SSL인증서



SSL MITM 공격의 위험성


SSL MITM 공격을 당한 홈페이지에 접속했다고 해서 악성코드에 감염되지는 않습니다. 그러나 SSL MITM 공격을 받은 홈페이지에서 개인의 계정정보나 금융정보를 입력할 경우, 입력한 정보들이 고스란히 공격자에게 넘어갈 수 있습니다. 또한 유출된 정보들은 스피어피싱 공격이나 정보유출과 같은 2차 피해를 야기할 수 있습니다.



따라서 웹 서핑 중 브라우저가 보내는 경고창을 간과해서는 안되며, 위와 같이 경고창이 뜨는 페이지는 되도록이면 방문을 하지 않는 것이 좋습니다.



참고 :

티스토리 방명록 작성
name password homepage