ID, PW를 훔치는 데이터 평문 전송 공격
해커들의 필수 덕목, 데이터 평문 전송 공격에 대하여 알아보겠다. 먼저 평문이란, 암호화되지 않은 그대로의 데이터를 말한다. 예를 들어 당신의 게임 PW가 1234라면, 평문 PW는 1234, 암호화된 PW는 asdofjiqew2134123ksad 정도가 될 것이다. 암호화된 PW는 규약에 따라 복호화하기 전까지 평문이 무엇이었는지 알 수 없다.
위 그림처럼, 데이터를 평문(원본)으로 그대로 웹 서버에 전송하면, 중간에 해커가 스니핑(가로채기) 등을 통하여 패킷을 확인하고 무슨 정보를 보냈는지 바로 알 수 있다. (만약 암호화 되었었다면, 해커는 복호화를 할 규약이나 툴을 모르므로 알 수 없는 정보만 있을 것이다. ex) PW: asdofjiqew2134123ksad ) 패킷 가로채기는 '와이어샤크(Wireshark)'라는 자유 및 오픈소스 패킷 분석 프로그램만 써봐도 확인할 수 있다.
대응 방안
이에 대한 대응 방안은 다음과 같다.
- 중요 정보(ID, PW 등) 전송 구간에서는 SSL 등의 암호화 통신 프로토콜을 사용하여 스니핑 위험 최소화
- 필요한 SSL 인증서를 발급, HTTPS 통신 사용 권장
- 비밀번호 등은 SHA256 혹은 그 이상의 알고리즘으로 Hash 한 상태로 전송
- 비대칭형 암호시스템 RSA 등을 사용할 것. (대칭형은 암호화키로 복호화도 이루어져서 보안적으로 안전하지 않음)
용어 정리
* 평문(Plain text): 암호화되기 전 메시지
* 암호문(Cypher text): 암호화된 메시지
* 스니핑: 네트워크에서 상대방의 패킷 교환을 엿들음
* SSL(Secure Sockets Layer)(보안소켓계층): 디지털인증서. 웹과 브라우저 사이 전송데이터를 암호화하는 표준기술
* TLS(Transport Layer Security)(전송계층보안): SSL의 향상버전. 신뢰가능한 디지털 인증서
* HTTPS(Hyper Text Transfer Protocol Secure): 웹사이트가 SSL/TLS(디지털 인증서)로 보호되는 경우, HTTPS가 URL에 표시됨. 자물쇠 클릭으로 인증서 세부정보 확인 가능
* SHA256(Secure Hash Algorithm): 변환을 원하는 문자들을 256 bit길이의 key로 변환하는 보안 해시 알고리즘
ex) hello world >> SHA256 >> skdfjasjdofqji1ojok13jrkdlksmf1436534kmdlkfmewvbv 이런 식.
* RSA: 공개키 암호시스템. 전자서명에 사용, 소인수 분해를 활용한다. 양자 컴퓨터가 본격적으로 실용화되면 무용지물이 되는 알고리즘 중 하나. 아래의 방식처럼 암호화/ 복호화한다. (시험 단골 문제)
'자격증 > 정보관리기술사' 카테고리의 다른 글
| [정보관리기술사] IT에서 Daemon, 데몬이란? (0) | 2024.01.12 |
|---|---|
| [정보관리기술사] IT 프로젝트 용어 정리 (ISMP 등) (0) | 2023.09.30 |
| [정보관리기술사 기출] 해쉬 알고리즘 feat. 전자서명 (2) | 2021.04.06 |