언제나 공사중! :: 보안서버 설치-> 호스팅 업체는 죽으라는 이야기?

보안서버 설치-> 호스팅 업체는 죽으라는 이야기?

컴퓨터와 생활 2007/03/09 18:08

얼마전에 정부에서 개인 정보를 다루는 사이트에 대해서 보안서버를 설치하라는 소리를 했다. 그리고 최근에는 없는 사이트는 검열에 들어가겠다고 했다. 근데, 여기서 문제. 아주 심각한 문제를 발견했다. 국내에 사이트가 몇개라고 생각되는가?

보안서버를 설치해야 하는 사이트가 몇개라고 의심되는가? 법에 포함되는 모든 서버를 지정해야 한다면, 내 생각에 128*255*255*255 개는 넘을 것으로 예상된다. 왜 갑자기 이 이야기를 하느냐고? 자... 다음 문서를 보자.

Configuring Server Bindings for SSL Host Headers (IIS 6.0)

Windows 2003에 있는 IIS 6.0에서 다중 SSL을 설치하는 방법이 나와있는 문서다. 근데 여기서 잘 봐야 한다. 주의해서 봐야할 부분은 바로 처음에 있는 다음 부분.

Important
You must configure secure bindings for all SSL-enabled Web sites that use the wildcard server certificate to prevent unauthorized use of the certificate.

왜 위의 내용이 중요한가하면 바로 wildcard server certificate라고 되어 있다. 위 말의 뜻을 풀어보자면,

CASE A
IP : 1.1.1.1
- 가상서버1: a.test.com
- 가상서버1:b.test.com
- 가상서버1:c.test.com
인증서 : *.test.com

위의 CASE A의 설정을 가진 서버가 존재한다면 *.test.com 인증서를 사용하여 가능하다는 뜻이다. 하지만, 다음과 같은 CASE B 서버의 경우에는

CASE B
IP : 1.1.1.1
- 가상서버1:www.testA.com    인증서1 : www.testA.com
- 가상서버2:www.testB.com    인증서2 : www.testB.com
- 가상서버3:www.testC.com    인증서3 : www.testC.com

적절한 인증서를 찾지 못한다는 결론이 나온다. 그리고... 실제 테스트 해보니 다중 인증서 설치는 되나 다중 인증서를 찾아 적용하는 작업은 진행이 안된다. 자체 서버를 가지지 못하고 호스팅을 받는 회사는 SSL을 통한 보안 서버의 구축은 불가능하다. 호스팅을 받으면 ActiveX를 통해 보안서버를 구축하는 길을 찾던지, 자체 IP를 받던지하는 두개의 길만이 남았다.

왜 이것이 안될까? 이걸 알려면 HTTPS의 구조를 보면 된다. 결론부터 말하면 HTTPS는 Host Header 부분이 없다. 따라서 가상 호스트로 등록될 수 없고, 그 결과 웹서버는 인증서 검색에서 에러가 발생할 수 밖에 없다. (왜냐.. 헤더를 검색하는 방법이 없으니까...)보다 자세한 HTTPS에 대한 내용은 RFC 2660을 참고해봐라.

이것이 왜 큰 문제인가 하면 ActiveX로 보안서버를 구축하는 경우 대부분은 SSL을 도입하는 것보다 더 큰 비용이 들고, 이 ActiveX는 현재 Windows Vista 및 윈도우 with IE가 아닌 환경이라면 문제발생 소지가 크다(알겠지만 ActiveX는 표준 기술도 아니고 이제는 버려야할 기술이다) 설령 서버를 따로 나간다 할지라도 그 모든 회사에 부여될 IP가 넉넉하게 있기나 할까? 전 세계의 IP를 한국에서 모두 소탕해버리는 결과를 낳는건 아닐까?

이 법을 만든 애들이 기술적 제한 사항을 생각하지 않고 얼마나 생각없이 만들었는지, 얼마나 모르고 만들었는지 바로 티를 내는 그런 법 아닌가!

PS. IIS 5.0에서는 아예 되지도 않는다.
PS2. 아파치라고 예외는 아니다.

IIS, SSL, 다중서버, 보안서버, 인증서

트랙백 0 Comment 15

Trackback : http://www.daegul.com/trackback/2511315

정호씨ㅡ_-)v 2007/03/09 21:21
분명 저거 한 사람들은 전산전공한 사람이 아닐거라는;;;
- 데굴대굴 2007/03/11 10:49
  나름데로 공부(전자는 -에서 +로 간다)를 한 사람들일지도 모릅니다. -_-a
문스랩닷컴 2007/03/09 21:27
아마 공무원시험으로 대체(?)했을 듯;;;;
- 데굴대굴 2007/03/11 10:50
  공무원 시험보면 SSL 설치 안해도 되는건가요? (털썩)
아르 2007/03/09 22:34
SSL인증서 팔아서 돈 좀 만져보겠다는 하위기관의 개수작이라고 들었는데...ㅡ,.ㅡ...
- 데굴대굴 2007/03/11 10:53
  제 블로그에서 태그에 있는 "보안서버"를 클릭해보시면 관련 글이 몇개 있긴 있습니다만... ^^
  
  개수작까지는 아니고, 헛짓거리 정도는 되는거 같던데요. 근 4~5년 정도 관련 법을 몇개 보면서 드는 느낌은 '대충 이렇게 하면 되지 않을까?'라는 생각을 합리적인 검토없이 만드는게 법!이 아닐까라는 의심이 들고 있습니다.
toice 2007/03/10 09:19
정말 아무렇게나 만든 티가 나네요 -_-;;;;
- 문스랩닷컴 2007/03/11 06:23
  마자요. 대굴님
  홈페이지 공사 언제 끝나나요?
  
  ㅋㅋ.
- 데굴대굴 2007/03/11 10:56
  toice// 생각을 검토는 저쪽 안드로메다에 버리고 구체화하지 않은 법이 얼마나 많은 사람을 피곤하게 만드는지 생각좀 했으면 좋겠습니다.
  
  문스랩닷컴// 제 블로그도 아무렇게나 만들긴 했습니다만, 그래도 불편한 정도는 아니죠. 최소한 저런 법보다는 잘 만들어졌다고 자부하고 있습니다. -_-a
- toice 2007/03/12 10:42
  저는 저 법을 얘기한건데 문스랩닷컴님은 다른 말씀을..;;
- 데굴대굴 2007/03/12 13:22
  toice// 저 분 원래 저런 분이니 그려러니 하시는 것이..... (뭐, 저도 그다지 다른건 아닙니다만....-_-)
2007/03/15 17:45
비밀댓글입니다
- 데굴대굴 2007/03/15 18:00
  제 글을 보셔도 되고 링크 시킨 글도 잘 보세요. Important에 wildcard server certificate라는 단어 안보이십니까? wildcard가 *를 뜻한다는건 알고 계시겠죠?
  
  네트워크 프로토콜에 대해서 공부해보셨다면 RFC 2660을 끝까지 읽어보시길.... SSL은 패킷의 IP를 암호하는거지 Host Header 이후의 부분만 암호화하는게 아닙니다.
  
  참고로 현재 보안서버를 설치하라고 배포되는 문서(PDF문서)에 있는 것도 제가 말한 wildcard server certificate부분만 빠져있습니다.
Cooolguy 2007/03/16 11:14
네, 다시 확인해보니 말씀하신 내용이 맞네요. 좋은 지적 입니다.
- 데굴대굴 2007/03/16 20:19
  국가에서 시책으로 내놓는거면 부디 정상적인 내용을 싣어줬으면 하는게 제 바램을 뿐입니다. 가이드라인과는 조금(?) 차이가나니 원.... 나중에 뒤통수 맞기 싫어요. -_-a