언제나 공사중! ::

'인증서'에 해당되는 글 2건

2007/03/09 보안서버 설치-> 호스팅 업체는 죽으라는 이야기? (15)
2007/02/08 인증서.. 오히려 더 위험? (19)

보안서버 설치-> 호스팅 업체는 죽으라는 이야기?

컴퓨터와 생활 2007/03/09 18:08

얼마전에 정부에서 개인 정보를 다루는 사이트에 대해서 보안서버를 설치하라는 소리를 했다. 그리고 최근에는 없는 사이트는 검열에 들어가겠다고 했다. 근데, 여기서 문제. 아주 심각한 문제를 발견했다. 국내에 사이트가 몇개라고 생각되는가?

보안서버를 설치해야 하는 사이트가 몇개라고 의심되는가? 법에 포함되는 모든 서버를 지정해야 한다면, 내 생각에 128*255*255*255 개는 넘을 것으로 예상된다. 왜 갑자기 이 이야기를 하느냐고? 자... 다음 문서를 보자.

Configuring Server Bindings for SSL Host Headers (IIS 6.0)

Windows 2003에 있는 IIS 6.0에서 다중 SSL을 설치하는 방법이 나와있는 문서다. 근데 여기서 잘 봐야 한다. 주의해서 봐야할 부분은 바로 처음에 있는 다음 부분.

Important
You must configure secure bindings for all SSL-enabled Web sites that use the wildcard server certificate to prevent unauthorized use of the certificate.

왜 위의 내용이 중요한가하면 바로 wildcard server certificate라고 되어 있다. 위 말의 뜻을 풀어보자면,

CASE A
IP : 1.1.1.1
- 가상서버1: a.test.com
- 가상서버1:b.test.com
- 가상서버1:c.test.com
인증서 : *.test.com

위의 CASE A의 설정을 가진 서버가 존재한다면 *.test.com 인증서를 사용하여 가능하다는 뜻이다. 하지만, 다음과 같은 CASE B 서버의 경우에는

CASE B
IP : 1.1.1.1
- 가상서버1:www.testA.com    인증서1 : www.testA.com
- 가상서버2:www.testB.com    인증서2 : www.testB.com
- 가상서버3:www.testC.com    인증서3 : www.testC.com

적절한 인증서를 찾지 못한다는 결론이 나온다. 그리고... 실제 테스트 해보니 다중 인증서 설치는 되나 다중 인증서를 찾아 적용하는 작업은 진행이 안된다. 자체 서버를 가지지 못하고 호스팅을 받는 회사는 SSL을 통한 보안 서버의 구축은 불가능하다. 호스팅을 받으면 ActiveX를 통해 보안서버를 구축하는 길을 찾던지, 자체 IP를 받던지하는 두개의 길만이 남았다.

왜 이것이 안될까? 이걸 알려면 HTTPS의 구조를 보면 된다. 결론부터 말하면 HTTPS는 Host Header 부분이 없다. 따라서 가상 호스트로 등록될 수 없고, 그 결과 웹서버는 인증서 검색에서 에러가 발생할 수 밖에 없다. (왜냐.. 헤더를 검색하는 방법이 없으니까...)보다 자세한 HTTPS에 대한 내용은 RFC 2660을 참고해봐라.

이것이 왜 큰 문제인가 하면 ActiveX로 보안서버를 구축하는 경우 대부분은 SSL을 도입하는 것보다 더 큰 비용이 들고, 이 ActiveX는 현재 Windows Vista 및 윈도우 with IE가 아닌 환경이라면 문제발생 소지가 크다(알겠지만 ActiveX는 표준 기술도 아니고 이제는 버려야할 기술이다) 설령 서버를 따로 나간다 할지라도 그 모든 회사에 부여될 IP가 넉넉하게 있기나 할까? 전 세계의 IP를 한국에서 모두 소탕해버리는 결과를 낳는건 아닐까?

이 법을 만든 애들이 기술적 제한 사항을 생각하지 않고 얼마나 생각없이 만들었는지, 얼마나 모르고 만들었는지 바로 티를 내는 그런 법 아닌가!

PS. IIS 5.0에서는 아예 되지도 않는다.
PS2. 아파치라고 예외는 아니다.

IIS, SSL, 다중서버, 보안서버, 인증서

트랙백 0 Comment 15

Trackback : http://www.daegul.com/trackback/2511315

정호씨ㅡ_-)v 2007/03/09 21:21
분명 저거 한 사람들은 전산전공한 사람이 아닐거라는;;;
- 데굴대굴 2007/03/11 10:49
  나름데로 공부(전자는 -에서 +로 간다)를 한 사람들일지도 모릅니다. -_-a
문스랩닷컴 2007/03/09 21:27
아마 공무원시험으로 대체(?)했을 듯;;;;
- 데굴대굴 2007/03/11 10:50
  공무원 시험보면 SSL 설치 안해도 되는건가요? (털썩)
아르 2007/03/09 22:34
SSL인증서 팔아서 돈 좀 만져보겠다는 하위기관의 개수작이라고 들었는데...ㅡ,.ㅡ...
- 데굴대굴 2007/03/11 10:53
  제 블로그에서 태그에 있는 "보안서버"를 클릭해보시면 관련 글이 몇개 있긴 있습니다만... ^^
  
  개수작까지는 아니고, 헛짓거리 정도는 되는거 같던데요. 근 4~5년 정도 관련 법을 몇개 보면서 드는 느낌은 '대충 이렇게 하면 되지 않을까?'라는 생각을 합리적인 검토없이 만드는게 법!이 아닐까라는 의심이 들고 있습니다.
toice 2007/03/10 09:19
정말 아무렇게나 만든 티가 나네요 -_-;;;;
- 문스랩닷컴 2007/03/11 06:23
  마자요. 대굴님
  홈페이지 공사 언제 끝나나요?
  
  ㅋㅋ.
- 데굴대굴 2007/03/11 10:56
  toice// 생각을 검토는 저쪽 안드로메다에 버리고 구체화하지 않은 법이 얼마나 많은 사람을 피곤하게 만드는지 생각좀 했으면 좋겠습니다.
  
  문스랩닷컴// 제 블로그도 아무렇게나 만들긴 했습니다만, 그래도 불편한 정도는 아니죠. 최소한 저런 법보다는 잘 만들어졌다고 자부하고 있습니다. -_-a
- toice 2007/03/12 10:42
  저는 저 법을 얘기한건데 문스랩닷컴님은 다른 말씀을..;;
- 데굴대굴 2007/03/12 13:22
  toice// 저 분 원래 저런 분이니 그려러니 하시는 것이..... (뭐, 저도 그다지 다른건 아닙니다만....-_-)
2007/03/15 17:45
비밀댓글입니다
- 데굴대굴 2007/03/15 18:00
  제 글을 보셔도 되고 링크 시킨 글도 잘 보세요. Important에 wildcard server certificate라는 단어 안보이십니까? wildcard가 *를 뜻한다는건 알고 계시겠죠?
  
  네트워크 프로토콜에 대해서 공부해보셨다면 RFC 2660을 끝까지 읽어보시길.... SSL은 패킷의 IP를 암호하는거지 Host Header 이후의 부분만 암호화하는게 아닙니다.
  
  참고로 현재 보안서버를 설치하라고 배포되는 문서(PDF문서)에 있는 것도 제가 말한 wildcard server certificate부분만 빠져있습니다.
Cooolguy 2007/03/16 11:14
네, 다시 확인해보니 말씀하신 내용이 맞네요. 좋은 지적 입니다.
- 데굴대굴 2007/03/16 20:19
  국가에서 시책으로 내놓는거면 부디 정상적인 내용을 싣어줬으면 하는게 제 바램을 뿐입니다. 가이드라인과는 조금(?) 차이가나니 원.... 나중에 뒤통수 맞기 싫어요. -_-a

인증서.. 오히려 더 위험?

컴퓨터와 생활 2007/02/08 14:49

오늘 점심 먹고 잽싸게 들어와서 기사를 쭉 훓고 있는데, ZDNet에 아주 관심있는 기사가 올라왔더군요. 바로 다음 기사들 입니다.

내용은 아주 단순한 내용입니다. 국내 보안 소프트웨어 업체가 불필요한 인증서를 발급했으고, 이로 인하여 루트 인증서를 발급했기에 안전하지 못한 인증서로 인하여 보안상 문제가 될 가능성도 있고, 추가로 루트 인증서의 발급은 국내법에 어긋난다는 내용이지요.

여기에 나온 인증서를 보는 방법은 일단 은행권 사이트에 가신 후에 공인인증서 관리쪽에 가셔서 인증서 관리를 누르시면 창이 하나 뜰겁니다. 여기 보시면 "개인", "중개 인증기관", "신뢰된 루트 인증기관" 탭이 있는데, 이 중에서 문제가 되는건 바로 "신뢰된 루트 인증기관"입니다.

제가 알기론 국내법상 루트 인증서를 발급하기 위해서는 국가의 허가를 받아야하는 것으로 알고 있는데, 이를 우회하여 설치하였으니 문제가 되는 것이죠. 이 인증서가 우리가 쓰는 서버인증서와는 조금 다른 ActiveX기반의 SEED 인증서이기에 회피할려면 [사설 인증서]라고 얼버무리면 얼마든지 회피는 가능합니다만, 어찌되었든 이 인증서를 인식하기에는 사설 인증서가 아닌 공인인증서 레벨이므로, 논란이 계속 있을 것 같네요.

PS1. 제 PC에 있는 인증서를 보니 "한빛은행 CA"도 "신뢰된 루트 인증기관"에 등록되어 있군요.
PS2. 이런 기사를 볼 때마다 한국의 IT가 얼마나 비 정상적으로 대충 구현되었는지 알게되서 씁쓸해지는군요. 피휴.....

CA, SSL, 보안, 인증서

트랙백 0 Comment 19

Trackback : http://www.daegul.com/trackback/2511286

Lane 2007/02/08 15:15
뭐 대략은 알려져 있던 내용들인거 같은데, 액티브 엑스라는 자체가 어차피 위험에 항상 노출이 될 수 밖에 없다고 하더라구요.
우리나라 인터넷은 한 번 확 갈아 엎을때가 왔어요.
- 데굴대굴 2007/02/08 15:17
  우리나라 인터넷을 확 갈아 엎을때 무엇을 팔면 때돈을 벌 수 있을까요? 쟁기나 트랙터를 파는게 효과적이지 않을까요?
眞心 realmind 2007/02/08 16:38
ActiveX 라는 것 자체가 원래 표준화되지 않은 것이고,
보안상으로도 취약한 부분이 많은데..
다른 나라는 그렇지 않은데 우리나라만 유독 마소에 빠져서 ActiveX로 다 도배하고 덕분에 마소에서 헤어나오지 못하고 있죠..
문제가 생각보다 심각하죠..
- 데굴대굴 2007/02/09 09:03
  마소에 종속된건 둘째 치고, 기본적인 부분부터 지키지 않은 업체의 잘못은 더 심각한 사항입니다. 믿지 못할 업체를 신뢰한다고 해버렸으니, 최악의 경우 해당 업체가 문제를 일으키는 경우 최.다.날.아.가.는.겁.니.다.
nagne 2007/02/08 16:45
우리나라는 사건이 터지지 않는한 보험을 아깝게 생각하는 경향이 있죠..
- 에드 2007/02/08 19:10
  요즘은 뉴스나 신문에 보도되지 않으면 터져도 가만히 있다죠...오픈웹 소송도 이쪽에 관심있는 분들은 많이들 아시겠지만 다른 사람들은 모르니까 정통부에서 그따위로 하는가 봅니다.
  한 번 방송 타야되는데...
- 데굴대굴 2007/02/09 09:06
  nagne// 국내 보험은 조금 별로더군요. 어떻게하면 안줄까. 어떻게하면 적게 줄까만 생각하니까요. 하도 적게줘서 가입 안하면 별 쓸데 없는 다양한 혜택을 붙여서 팔고요. 이 부분에서는 확실하게 OX로 구분지어주는 외국계 보험사가 잘됩니다. 실제로 이 부분 때문에 외국계 보험사가 점차 커가는 것이기도 하고요.
  
  에드// 오픈웹쪽의 진행은 한달에 한번은 언론에 나왔으면 좋겠어요. ZDNet말고 TV나 신문쪽에 대문짝만하게 말이죠. 그래야 무엇이 문제이고 어떻게 해야하는지 쉽게 진행될듯...
별바람 2007/02/08 22:20
이젠 정말 필요한곳에만 액티브X를 쓰는 지혜가 필요할듯 싶은데..그저 암담할뿐입니다.
- 데굴대굴 2007/02/09 09:10
  업체들 나름데로 죄다 필요하다고 생각했나봅니다;;;;;
Hee 2007/02/08 22:40
흠...대한민국은 IT선진국.....이라고 하더군요..
쩝...
- 데굴대굴 2007/02/09 09:12
  어떤 부분에서 어떤 것을 잘하기 때문에 선진국인지는 모르겠지만, 언론에서는 선진국이라고 하긴 하더군요. 수치화된 데이터와 함께 이런 단어를 사용하면 더 잘 믿을텐데 말이죠...
련 2007/02/08 22:54
고운님..쌩긋^^*
여전히 어려운 아 머리넘아포!! 허헛!!..
머리아픈건 접어두고,이른 봄비가 내린하루 울님 어찌 지내셨는지요?!!
싱숭생숭 갈팡질팡 아주 말두못해요!!.ㅎㅎ 달님이 구름에가려져 보이지 않네요!!..
지금 이곳에 있으신지 모르겠습니다. 더없이 편안한밤이 되시기를....
^^
- 데굴대굴 2007/02/09 09:13
  저 달님본지 꽤 됐습니다. 대신 아침 햇님은 이번주에 거의 메일 봤네요. ^^ 아침형 인간이 꽤나 몸에 무리를 주긴 주나봐요.
문스랩닷컴 2007/02/09 13:29
서버 인증서 필요함 얘기하세요.

사설로 만들어 드리죠.

ㅎㅎ

공인이 깨지면 전체가 위험해지지만,

사설 10240비트로 만들면 안깨지지 않을까요?

ㅋㅋ
- 데굴대굴 2007/02/09 13:47
  그럴바에야 그냥 서버를 해킹해서 인증서를 내보내기로 받아 제가 외부에서 사용하도록 하지요..
꿈실이 2007/02/09 17:34
무분별한 남용들이 언제나 가장 큰 문제인 것 같아요. 저같은 무지한 사용자들은 그저 설치하라면 설치하는 법 밖엔 모르는데 말이죠. 윗분들 말씀대로 또 언제나처럼 소잃고 외양간 고치겠군요.
- 데굴대굴 2007/02/11 15:54
  소읽고 외양간 고칠수 있으면 다행이겠지요. 가끔은 고치지도 못하고 그냥 냅두기도 하잖아요.
백진영 2007/02/10 00:09
엑티브처럼 보안성 취약하고 귀찮고 (일단설치해야되니까..)
지저분하고 거기다 최악의 호환성.. (오로지 익스플로러에서만 되는..)
을 가진 프로그램을 한국에서 집중적으로 사용되는 이유는-_-

사실 프로그래밍하기가 편해서입니다 .....
보통 외국같은곳에선 엑티브를 아예안사용하거나 보통 자바를 쓰는데..
엑티브가 사용자에겐 불편해도 프로그래머한탠 편하죠 참 어이없죠..
- 데굴대굴 2007/02/11 15:55
  프로그래밍 편하다는데에는 동감입니다. 신경 쓸 것 없이 있는거 그냥 쓰기만 하면 만사 OK니까요. 하지만, 이런 제한적 기술을 집중적으로 사용한 것에 대해서는 누군가 책임을 져야겠지요.