[Web] SSL Strip Attack

Ⅰ. 개요

 

Hacker가 MITM(Man In The Middle)을 사용하여 SSL 통신을 중간에 엿들을 경우, ID와 Password와 같은 중요한 정보가 Hacker에게 알려지게 된다. 단, 이때 ‘보안 Certificate이 이상하다’ 또는 보안 경고 창이 피해자에게 띄워지게 된다. 주의 깊은 사람이 아닌 대부분의 사용자는 별 생각 없이 무시하기를 클릭하거나, OK를 클릭하기 때문에 공격 자체는 문제가 없지만, 이상하게 생각하여 클릭하지 않는 사람도 존재한다.

여기서 간단한 툴들을 조합해 피해자와 웹 사이트 사이의 통신 구간에 있는 Hacker가 SSL 통신의 암호화를 벗겨 공격하게 된다. 그래서 SSL Strip Attack이다.

 

웹 사이트 전체에 SSL을 적용하면 모르겠으나, 대부분의 웹 사이트는 고객 편의를 위해 다음과 같이 구축한다.

고객(http:// ~ )로 접속 -> 첫 페이지의 로그인창 부분만 SSL처리 -> 로그인 성공 -> http:// ~ 페이지 유도

 

 

위 과정은 너무 빨리 일어나기 때문에 별도의 툴을 사용하지 않으면 로그인 과정에 SSL 통신이 이루어졌는지 사실 조차 알기 어렵다. 유일하게 확인 할 수 있는 부분인 웹 브라우저의 주소 창이나 하단의 자물쇠 아이콘 역시 눈에 보이지 않을 만큼 빠른 속도로 사라진다.

그렇기 때문에 SSL Strip Attack을 당할 경우 피해자는 스스로 Hacking당하고 있다는 사실을 인지하기 어렵게 된다. 고객에게 편리한 보안 서비스를 제공하기 위해 배려한 것이 오히려 위험을 가중시키는 사례가 된다.

 

2010년도에 구글이 웹 사이트 전체를 SSL 통신만 가능하도록 바꾼 것이 위와 같은 위험을 의식해서인 것으로 보인다.

 

SSL Strip Attack은 사실 공격이 매우 간편하고, 현재 아키텍처에서는 피해자가 인지하기 어려운 구조이므로, 보안이 매우 중요한 사이트라면 고객 편이성과 보안성 사이에 적절한 판단을 통해 웹 사이트 전체를 SSL 통신으로 바꾸는 것에 대해서 고려할 필요가 있다고 새각한다. 하지만, 현재보다 현저히 늘어나게 되는 트래픽 사용량과 CPU 부하에 대해 고려해봐야 하며, SSL 가속기를 이용한 부하 분산의 필요성 등 다양한 측면에서 고려해야 할것이다.

 

만약 공개된 와이파이, 타인의 무선랜을 몰래 사용하는 사람, 같은 회사 사무실에 근무하는 옆자리 동료, 초고속 인터넷 회사 직원 등 사용자의 통신 경로 상에 위치한 모든 사람은 SSL Strip Attack을 수행할 수 있다.

 

Ⅱ. SSL Strip Attack 공격 방법

 

만약 클라이언트가 서버와 SSL 통신을 하고 있으면, Hacker는 클라이언트의 정보를 탈취할 수 없다. 하지만, 클라이언트가 서버에게 SSL 연결 요청을 하는 초기 단계에서는 가능하다.

클라이언트가 서버에게 Client Hello Message 전송할 때, 중간에서 가로채고, Hacker는 클라이언트가 Client Hello Message전송 한 것 처럼 서버에 Client Hello Message 전송 한다. 서버는 Hacker가 클라이언트로 알고 Server Hello Massage와 서버 인증서를 전송 하게 되어, SSL Strip Attack이 성립하게 된다.

 

SSL Strip Attack이 성립이 되면, 다음과 같은 구조가 된다.

위와 같은 구조가 되면, 클라이언트는 SSL 통신이 아닌 일반 HTTP 통신이기 때문에 보안경고창이 뜨지 않고, Hacker와 서버는SSL 통신을 하게 되는 것 이다. 서버에서 SSL 통신으로 메시지를 보낼 경우Hacker는 중간에서 이 메시지를 캐치하여, 일반HTTP 통신으로 고쳐 주기만 하면 된다.

 

Ⅲ. SSL Strip Attack 대응 방안

 

① 일반 사용자

- https::// 인지 확인 및  마크를 확인한다.

- 백신 및 OS를 최신 업데이트를 유지한다.

  - 무선 랜 사용시 공개된 AP사용을 자제한다.

 

 ② 관리자

- 무선랜 사용시 WPA 이상의 암호화 방식을 사용하여 AP에 Password를 설정한다.

- 유선일 경우 ARP Spoofing 보안 대책 적용 한다.

- SSL을 필요로 하는 페이지 일 경우 HTTP로 접근을 차단하고, HTTPS로의 접근만 허용한다.