세종사이버대학교 대학원 입학지원절차의 입학절차를 단계별로 안내해 드립니다.
고급정보보호이론
2016.02.11
42497
안녕하세요 박관순입니다. 반갑습니다. 지니온 이라는 회사를 다니고 있구요. 저의 주 업무는 정보보안 팀하나 조그만 팀하나 운영하고 있습니다. 그래서 주로 취약점 점검, 및 모해킹, 정보보호 컨설팅, ISMS라든지 위주로 지금 많은 활동들을 열심히 하고 있습니다. 그리고.. 네.. 네.. 반갑습니다. 제 관심분야 역시 취약점 이다 보니까 그 이번에 보고서 혹은 논문까지는 아니고 보고서의 계획서는 취약점과 관련되어 있는 오픈SSL에 취약점 아마 다들 들어 보셨을 거라 생각이 되어 지는데요. 해당 취약점에 대한 내용을 정리하고 공격한번 해보는 것 까지 시행하는 것을 목표로 준비를 한 번 하려고 합니다. 하트블리드는 그 말 그대로 심장이 조금씩 출혈되는 것을 뜻하고요 그 하트비트라는 규격이 있습니다. 심장박동이 하나씩 피켓을 던질 때마다 답변을 조금씩, 조금씩 복호화 되어 있는 내용들을 알려줘서 전체 중요한 데이터들이 유출될 수 있는 그러한 위험한 취약점이 있는데요. 제가 왜 관심을 가지게 되었냐면 2014년 4월에 처음 하트블리드가 발견되었습니다. 2014년 160번째로 발견된 취약점인데요. 그런데 1년이 지났음에도 불구하고 최근에 취약점 점검을 한다든지 정말 그... 심사를 하러 간다든지 했을 때 인증기관들 인증 루트나 뭐..실 기관들에대해서 심사를 갔을 때도 우리가 믿고 써야 되는 웹 사이트조차에서도 하트블리드가 그대로 존재하는 경우를 상당수 많이 보았습니다. 이번 기회에 같이 수업을 듣고 계신 분들도 조금 같이 이해도를 높이고 하트블리드 취약점을 또 어떤 식의 공격된 방안을 가지고 움직이실 수 있는 지.. 최진영 학우가 블랙박스에 대해서 얘기를 하셨지만 거기서도 어차피 오픈SSL를 많이 사용해서 암호화 방식을 구현 하실 거라고 생각이 되어 집니다. 그래서 그러한 취약점들을 각 프로덕이나 서비스에 지장을 받지 않도록 운영 하시는 방법이 어떠한 것들이 있는가 까지가 한 번 고민을 해보는 걸로 저의 이번 그 고급정보보호이론에서 교수님과 함께 고민을 해보려고 합니다. 자세한 것은 해가면서.. 네.. 하트블리드 SSL, TLS 상당히 많이 쓰이죠. 보통 우리가 암호화 하면 통신상에서 우리가 애써 기밀을 보호하거나 어떤 정보를 주고 받을 때 보통 TLS, SSL 많이 쓰입니다. 박관순 학생이 하트블리드라는 공격이 그전에는 이런 비슷한 이야기가 나왔는데. 그전에는 이런 비슷한 공격들이 백 몇 번째라고 했죠? 박관순학생? 혹시.. 대표적인 거니까 발표할 때 모니터를 보니까 오픈SSL라고 쓰고 여기 하트블리드라고 하는 내용을 이것 대신 그동안 취약점이라고 나왔던 것을 대표적인 것들이 있어요. 제가 정리해놓은 것이 있는데 그걸 간단히 쓰고 그것을 정리하시고 그 다음에 세 번째로 하트블리드가 뭔지 어떤 건지 그다음에 하트블리드가 무엇인지 하는 것이 좋을 것 같애. 오픈SSL라는 것이 취약점이 하트블리드만 있는 것이 아니잖아요 그죠? 학생들한테 대표적인 것만 알려주면 될 것 같애. 학생들에게 도움이 될 것 같애 그것만 추가 하면 될 것 같구요. 그리고 제가 작년에 그..과제를 진행하면서 사실을 무엇을 했냐면 암호모듈 검증은 를 암호화를 모듈상에다가 암호알고리즘이든 암호칩이든 이러한 것들을 검사하는 CMBP 국내에서는 KCMF라고 해서 암호 검증모듈은 합니다. 그런데 프로토콜 지금얘기하는 SSL, TLS는 검증 대상이 아닙니다. 그러다보니까 취약점이 발생하는데 그런 취약점에 무방비해요. 누가 국가기관이나 누가 사용하는데 이게 안전한지 안전하지 않은지 취약점이 올라오면 퇴치하거나 업데이트를 해야되는데 그렇게 안해요. 지금 박관순 학생이 하트블리드뿐만 아니라 그전에 나온 것들도 안되어 있어요. 버전이 지금 KBS2.2 sm이죠 2.0 이죠? 그쵸?2.0 3.1 이런거 쓰고 있어요. 지금..버전이 업 되어 있는 것을 써야지 과거 것을 막아주는데 그렇지 않은 경우죠. 어떻게보면 좀 그렇습니다. 저보다 잘하실 거에요. 실무에 있으니까. 저도 이 부분을 과제를 같이 하면서 키워서 SSL, TLS 프로토콜 단위에서 안전할 수 있게끔 취약점, 분석 그것뿐만아니라 실험을 검증할 수 있는 그런게 너무 중요해요. 아직 그런게 없어요. 전세계적으로 하지를 않아요 할 수가 없어요 워낙 많아요.. 프로토콜상에서 아무리 안전하면 뭐해요 프로토콜 상에서 정보가 새어나가거나 케어 할 수 있는 가능성이 열려있으면 암호 자체가 안전하더라도 사용하는 과정에서 안전하지 않으니까 그것들을 막을 수 있는 검증할 수 있는 어떤 프로그램이 필요하다는 것이죠. 저희가 그것은 학회 큰 과제로 진행하려고 하고 있습니다. 발표 잘해주셨구요. 아주 좋은 SSL, TLS에 대해서 취약점에 대해서 공부를 한다고 하셨으니까 저도 관심이 많구요. 좋은내용 부탁드리겠습니다. 수고하셨습니다. 박수좀 쳐주세요, 끝나면..