중국 인증 기관, ‘실수로’ GitHub 도메인용 SSL 인증서 배포해Chinese Certificate Authority 'mistakenly' gave out SSL Certs for GitHub Domains 중국 인증 기관(CA)에서 기본 도메인의 SSL 인증서 사본을 배포하는 엄청난 보안 실수를 저질렀습니다. 해당 인증기관의 이름은 Wosign으로, 그들은 이름이 밝혀지지 않은 Github 사용자에게 GitHub 도메인의 기본 인증서를 발행했습니다. 이것이 어떻게 가능했을까요? 디지털 인증서 관리 시스템은 인터넷에서 가장 취약한 부분이며, 이미 뚫려진 상태라는 것을 알고 계신가요? 수십 억 인터넷 사용자들은 그들의 데이터에 대한 비밀성, 완전성을 보장받기 위해 전 세계 수백개의 인증기관(CA)에..

국내외 보안동향 2016. 8. 31. 10:04

새로운 암호화 취약점 Logjam, 인터넷 사용자들을 위험에 빠트려LogJam — This New Encryption Glitch Puts Internet Users at Risk 한 보안 연구팀이 암호화 통신을 다운그레이드시킬 수 있는 새로운 공격을 발견했습니다. 이는 Logjam이라 명명되었으며, 중간자 공격(MITM)을 통해 사용자와 웹, 또는 이메일 서버 간의 암호화 통신을 다운그레이드시킬 수 있습니다. Logjam 은 취약한 암호화 기법을 통해 HTTPS 연결에서 OpenSSL을 포함한 SSL/TLS 클라이언트를 다운그레이드시킬 수 있다는 점에서 FREAK 취약점과 매우 비슷합니다. 그러나 FREAK은 실행과 관련된 취약점이며 Logjam은 TLS 프로토콜 자체의 기본 설계상의 취약점이란 점에서..

국내외 보안동향 2015. 5. 21. 15:32

FREAK(cve-2015-0204) SSL 취약점 주의! 최근 FREAK(Factoring attack on RSA-EXPORT Keys) 취약점, 일명 괴짜버그가 발견되었습니다. FREAK(cve-2015-0204)취약점은 SSL서버가 수출용 RSA를 허용하도록 다운그레이드시킨 후, Brute-force 복호화 공격을 통하여 RSA키를 얻어 MITM공격을 수행하는 취약점입니다. 취약한 버전 OpenSSL 0.9.8zd 이전 버전OpenSSL1.0.0 ~ OpenSSL1.0.0p 이전 버전OpenSSL1.0.1 ~ OpenSSL1.0.1k 이전 버전이 밖에 취약한 OpenSSL을 사용한 구글 , 애플 등의 제품 취약점 패치 방법 OpenSSL 0.9.8 사용자는 OpenSSL 0.9.8zd로 업그레이드..

국내외 보안동향 2015. 3. 6. 11:30

SSLv3 'POODLE' 취약점 주요 정보Important information about SSLv3 'POODLE' flaw 구글이 오늘 아침, SSLv3 프로토콜에 대한 공격에 대해 발표했습니다. 이 공격은 몇 번의 시도를 통해 보안쿠키를 복호화하는 MITM 공격을 가능케 합니다. 해당 이슈는 CVE-2014-3566으로 설명되어 있으며, 취약한 SSLv3 프로토콜로 내려갈 수 있는 많은 인터넷 연결 서버들에 영향을 끼칩니다. 이 공격은 암호화된 트래픽이 악성노드(ex : 라우터나 컴퓨터)를 통과하고, 클라이언트와 서버 둘 다 취약 프로토콜(SSLv3)로 다운그레이드되어야 성공할 수 있습니다. SSLv3는 15년 전으로 거슬러 올라가며, 더 탄력적인 TLS로 대체되었습니다. 그러나 레거시 제약 때문..

국내외 보안동향 2014. 10. 17. 13:16

OpenSSL 취약점 ‘HeartBleed’ 발견 2014년 4월은 보안시장에서 큰 이슈가 많이 발생한 달입니다. 4월 8일(한국시간), 13년 동안 우리의 인터넷 생활을 함께 해 온 XP 운영체제의 업데이트 지원이 종료되었으며, 그 다음날인 9일, HeartBleed(CVE-2014-0160)라고 명명된 OpenSSL버그가 발견되었습니다. '하트블리드(HeartBleed)' 취약점이란? HeartBleed란 OpenSSL 1.0.1 버전에서 발견된 매우 위험한 취약점 입니다. OpenSSL을 구성하고 있는 TLS/DTLS의 HeartBeat 확장규격에서 발견된 취약점으로, 해당 취약점을 이용하면 서버와 클라이언트 사이에 주고받는 정보들을 탈취할 수 있습니다. * OpenSSL은 정해진 규격의 네트워크 ..

전문가 기고 2014. 4. 17. 16:06