상세 컨텐츠

본문 제목

카자흐스탄, 시민들의 HTTPS 인터넷 트래픽에 강제로 인터셉트 시작해

국내외 보안동향

by 알약(Alyac) 2019. 7. 22. 10:54

본문

Kazakhstan Begins Intercepting HTTPS Internet Traffic Of All Citizens Forcefully


카자흐스탄 정부가 주요 로컬 ISP 측에 사용자가 인터넷 서비스에 접근하기 위해 의무적으로 정부가 발행한 루트 인증서를 설치할 것을 요구한 것으로 나타났습니다.


문제의 루트 인증서는 "신뢰할 수 있는 인증서" 또는 "국가 보안 인증서"라 표기되어 있습니다.


이 루트 인증서가 설치될 경우 ISP가 사용자의 암호화된 HTTPS 및 TLS 연결에 인터셉트하여 모니터링하도록 허용합니다.


이를 통해 정부 스파이는 시민을 스파이하고 콘텐츠를 검열할 수 있습니다.


이러한 요구는 정부가 국내 모든 거주자들에게 "중간자 공격(MitM)"을 실행하는 것이나 마찬가지입니다.


"루트 인증서"를 설치하는 것으로 어떻게 ISP가 HTTPS 연결을 복호화할 수 있을까요?


사용자 기기와 웹 브라우저는 시스템에 루트 인증서가 설치된 CA(Certificate Authorities)에서 발급된 특정 인증서 목록에 포함된 디지털 인증서를 자동으로 신뢰합니다.


따라서 정부 기관의 루트 인증서를 설치할 경우, 정부가 사용자의 HTTPS 트래픽을 인터셉트할 수 있는 모든 도메인에 대한 유효한 디지털 인증서를 생성 가능한 권한을 부여 받습니다.


올 4월부터 카자흐스탄의 ISP 회사들은 사용자에게 "허용된" HTTPS 웹사이트 목록에 방해 받지 않고 접속하기 위해서 필수적으로 설치해야 하는 "국가 보안 인증서"에 대해 안내했습니다.


카자흐스탄의 주요 ISP 중 하나인 Tele2는 고객의 모든 HTTPS 연결을 인증서가 포함된 웹 페이지로 이동시켰습니다. 


해당 페이지에는 윈도우, macOS, 안드로이드, iOS 환경에서 인증서를 설치하는 방법이 표시되어 있습니다.


가장 심각한 보안 문제는 사용자들이 이 인증서를 설치하기 전에는 비 HTTPS 사이트만 방문할 수 있어, 안전하지 않은 HTTP 연결을 통해서만 해당 인증서를 다운로드할 수 있습니다. 


따라서 해커들이 중간자 공격을 통해 쉽게 해당 파일을 변경할 수 있게 됩니다.



<이미지 출처: https://thehackernews.com/2019/07/kazakhstan-https-security-certificate.html>



아래의 다른 ISP 회사들 또한 법을 준수하기 위해 인터넷 사용자들에게 해당 루트 인증서를 설치할 것을 요구할 예정입니다.

- Beeline

- K-Cell

- Active

- Altel

- Kazakhtelecom


카자흐스탄 정부는 수백만 명의 개인 정보 및 보안을 위험에 빠뜨릴 수 있는 인터넷 보안 프로토콜의 기본을 무너뜨리려는 것으로 보입니다.



<이미지 출처: https://thehackernews.com/2019/07/kazakhstan-https-security-certificate.html>



ISP 측은 개인 및 신용 정보, 카자흐스탄의 은행 계좌의 자금 도난 사례가 빈번하게 발생해 해커 및 기타 사이버 위협으로부터 국가의 정보를 보호하기 위해 해당 개정안이 도입되었다고 밝혔습니다.


또한, 카자흐스탄의 인터넷 사용자들이 해커 공격으로부터 보호를 받고 불법 콘텐츠를 열람하는 것을 막을 수도 있을 것이라고 언급했습니다.


ISP가 제공하는 정부 발행 인증서를 설치하는 이유와 방법에 대한 내용은 잘못된 루트 인증서를 설치할 수 있는 위협에 대해서는 정확히 설명을 하지 않고 있습니다.


이를 통해 사용자들은 사회 공학적 기법의 공격에 노출되고, 해커가 유포한 악성 루트 인증서를 설치하는 피해를 입을 수 있습니다.


이 외에도 HTTPS 통신을 중간에 인터셉트하면 ISP가 사용자가 방문하는 웹 페이지에 광고를 삽입하거나 스크립트 추적이 가능합니다.


현재, 주요 기술 회사들과 웹 브라우저들이 이 새로운 프라이버시 침해에 대해 어떻게 대응할지는 분명하게 밝히지 않았습니다.





출처:

https://thehackernews.com/2019/07/kazakhstan-https-security-certificate.html

관련글 더보기

댓글 영역