흔히 기업 사내 LAN같은 곳에선 방화벽이나 IPS에다 프록시 붙여서 https라도 다 뜯어봅니다.
흔히 기업 사내 LAN같은 곳에선 방화벽이나 IPS에다 프록시 붙여서 https라도 다 뜯어봅니다.
아래쪽 그림의 4단계(인증서 바뀌치기)가 문제인데요...
기업에서는 사무실에 있는 모든 컴퓨터에 자기네 CA를 설치하여 강제로 신뢰하도록 만들 수 있지만
개인 PC라면 해당 CA가 설치되어 있지 않으므로 시뻘건 보안경고가 뜨게 됩니다.
내 돈으로 사서 내가 세팅한 컴퓨터가 아니라면
컴퓨터 주인(기업)이나 세팅한 사람(전산실 직원) 마음대로 뚫을 수 있는 것이 당연하지요.
그건 그 컴퓨터에 백도어가 심어져 있는 것이지, https 프로토콜의 약점이라고 보기는 어렵습니다.
아 물론 KISA라든지, StartCom이라든지... 최신 브라우저들이 인정하지 않는 저급한 CA들은
컴퓨터에 기본으로 설치되어 있더라도 지워버리는 것이 안전하겠지요^^
[사족] http://www.boanserver.com/ 처럼 https를 대체할 수 있다고 주장하는 서드파티 솔루션은
위와 같은 바꿔치기 공격에 전혀 대응이 되어 있지 않으므로 (시뻘건 보안경고조차 안 뜹니다)
저런 걸 믿고 쓰다가는 언젠가 호되게 당할 겁니다.
페이팔을 비롯한 외국계 핀테크 서비스들은 암호만 알면 결제가 되지만, 그 대신 이상거래 탐지 시스템에 아낌없이 투자를 합니다. 의심스러운 거래를 실시간으로 파악하고, 문제가 있는 계좌는 자동으로 정지시켜 버립니다. 나중에라도 발견하면 철저하게 소비자 편에서 분쟁을 해결하고요. 판매자에게는 매우 불리한 시스템이지만, 구매자 입장에서는 손해볼 게 없습니다.
페이팔 공동창업자였던 피터 틸은 페이팔에서 갈고 닦은 이상거래 탐지 기술을 활용하여 금융기관이나 정보기관, 경찰 등에 특화된 빅데이터 컨설팅 회사를 차렸고, 이 때 CIA로부터 거액의 투자를 받기도 했는데... 미국이 파키스탄 산동네에서 빈 라덴을 찾아낸 것도 피터 틸 덕분이라는 얘기가 공공연하게 나돌고 있어요. 그만큼 무시무시한 기술을 가졌으니 고객에게 불편을 주지 않고도 충분히 사고를 막을 수 있다는 자신감이 있는 거겠지요. 우리나라는 원천기술이 없으니 공인인증서니 뭐니 삽질하는 거고요... ㅜㅜ