금융 기업인 비자(VISA)가 소유한 HTTPS로 보호된 웹사이트가 특정 코드에 취약점을 갖고 있는 것으로 밝혀졌다고 한다. 미국 국립표준기술연구소 조사 결과 독일 증권거래소(Deutsche Borse)와 폴란드은행협회 ZBP를 포함한 184개 서버가 지난 10년 동안 취약점을 갖고 있었다는 사실이 밝혀진 것.
이 취약점은 암호화 기술 전문가들이 포비든어택(Forbidden Attack)이라고 부른다. 또 7만 개가 넘는 웹서버에서도 이와 비슷한 공격을 받을 위험이 있다고 하지만 실제 실행은 상당히 어려울 수도 있다고 한다.
포비든 어택의 존재가 밝혀진 건 올해 1월이다. 이후 독일증권거래소는 웹사이트에 이 공격에 대비한 대책을 강구하고 있다. 하지만 비자 관련 사이트와 ZBP는 지금도 취약점을 남긴 상태에 있어 공격을 받을 위험이 있다고 한다.
인터넷 상에 존재하는 수많은 웹사이트는 HTML로 구축되어 있다. 이런 HTML 데이터를 웹서버와 웹브라우저 사이에서 송수신하기 위한 통신 프로토콜이 HTTP다. 그리고 HTTP를 통한 통신을 더 안전하게 하기 위해 통신 데이터를 SSL(TLS)을 이용해 암호화한 게 바로 HTTPS다.
포비든 어택은 HTTPS의 TLS 프로토콜을 실행할 때 발생하는 취약점으로 인해 잘못된 데이터를 암호화하기 위한 암호를 재사용하는 것이다. TLS는 GCM 암호화를 블록 암호 운용 방식으로 이용한다. 하지만 임의로 암호화가 사용되는 건 한 번 뿐이다. 하지만 이를 왜 몇 번이나 같은 걸 사용할 수 있게 한다면 악의적인 해커가 암호화를 해제할 수 있고 HTTPS로 암호화한 통신 내용이 유출될 위험이 있다는 것이다.
통신 내용을 가로챌 위험 뿐 아니라 중간자 공격을 건 해커가 악의적인 콘텐츠를 중간에 넣을 가능성도 있다. 포비든 어택을 이용해 암호화를 우회하고 악성 자바스크립트 코드를 넣어 웹사이트 사용자가 입력하는 비밀번호나 개인 정보 같은 걸 훔쳐볼 수도 있다. 관련 내용은 이곳에서 확인할 수 있다.
