TLS(SSL) 암호화 안한다고 아이디 패스워드 정보가 탈취 당할수 있나요?

yellowstone의 이미지

컴터 다뤄보니 문득 든 생각이 사용자 컴퓨터가 해킹만 안당하면 TLS(SSL) 암호화가 필요없지 않을까요?
사용자 PC와 서비스 업체 서버 까지 중간에 아이디, 패스워드 볼일이 없다고 생각이 들어요. 그렇다고 ISP업체가 볼일은 그렇고, TLS 암호화 안하면 어떤 문제가 생기는지 알고 싶습니다.
TLS란게 핵심(?), 간단하게(?) 설명하면 해당 통신내용을 암호화 시켜서 주고 받는 것이라고 할수있나요?

그리고 미국에서 HTTPS 의무화가 논란이라고 하더라구요. 그러면서 김기창 교수님 비난하는 댓글도 올라 오더라구요. 그러고 보니 HTTP/2에서도 이와 같은 문제로 대토론이 벌여졌다고 하네요. SSL 하는건 좋은데, 의무화 시키면 어떤문제가 생기는지 해당 웹페이지 보니 영문이라서 무슨뜻인지 모르겠어요. 아시는분 답변 바랍니다.

제목 : 미연방 : HTTPS 의무화 vs github이용자 : 문제 생긴다

미국 연방정부는 http를 폐지하고 https만 사용하자는 캠페인을 하고 있는 중입니다.

https://https.cio.gov/

위 링크를 통해 그 내용을 볼 수 있습니다.

하지만 이에 관해 github백악관 계정을 통해 https의무화가 되면 문제가 생긴다는 장문의 글이 올라오고 있는 중입니다.

https://github.com/WhiteHouse/https/issues/107

출처 : http://www.clien.net/cs2/bbs/board.php?bo_table=park&wr_id=37295557

제목 : 더 빠른 웹을 위한 프로토콜, ‘HTTP/2’

"패킷까보는게 더 쉬워질지도 모르겠군요. 포트 하나만 보면서 디먹싱만 잘하면 되니까요."

"말씀하신대로 HTTP/2 프라이버시 유의사항에 하나의 TCP 커넥션을 오래 유지하게 되므로 상대적으로 엿보기에 취약할 수 있다는 언급이 있었던 적이 있었습니다(지금은 살짝 고쳐짐). 그래서 그런건지 HTTP 워킹그룹의장이 HTTPS 만 쓸 수 있게 하는 안을 제안했었는데요. 그로 인해 엄청난 대토론이 벌어지고 결국은 HTTP/HTTPS 둘 다 지원하게했죠. 근데 그럼에도 불구하고 크롬이나 파이어폭스나 둘 다 HTTP/2를 쓸 때는 HTTPS를 필수적으로 요구합니다."

출처 : http://www.clien.net/cs2/bbs/board.php?bo_table=news&wr_id=1894626

File attachments: 
첨부파일 크기
Image icon AFagkDV.jpg62.2 KB
익명 사용자의 이미지

암호화 안 하면 ID, PW 쉽게 알아낼 수 있습니다.
예를 들어,
yellowstone님이 학과 내 PC에서 http://www.example.com 에 ID, PW 넣어서 버튼 누르면
옆 강의실에 있는 사람이 https://packages.debian.org/jessie/wireshark 이런 프로그램을 이용하여,
ID, PW를 쉽게 알아낼 수 있습니다.

익명 사용자의 이미지

위 댓글 쓴 사람인데요...
집에 공유기에 컴퓨터 2대 물려놓고 해보세요.
공공 장소에서 ID/PW 스피닝하는 것은 범죄 행위입니다.
사람들의 동의를 구해서 시험삼아 해보는 것은 괜찮은데,
불순한 의도를 가지고 ID/PW를 탈취하거나, 이메일을 감청하는 행위는 범죄 행위임을 명심하시기 바랍니다.

yellowstone의 이미지

답변 감사합니다. 정확히 스피닝 용어가 맞나요?
'스피닝' 검색해보니 운동관련 검색결과가 나와요;;
TLS 암호화 안하면 도대체 얼만큼 쉬운가요?
앞서 말씀한신 방법 말고도 다른방법도 있나요? 방법도 많은가요?

익명 사용자의 이미지

스니핑입니다. 오타네요. ㅎㅎ
얼마나 쉬운지는 "스니핑"이라고 구글 검색해서 읽어보시면 될 것 같네요.

yellowstone의 이미지

답변 감사합니다. 덕분에 TLS의 중요성을 알게 되었습니다.

bt의 이미지

Snowden의 폭로 이후로 개인의 인터넷 이용을 감시하는 것에 대한 우려가 커졌고, 많은 민간 기업과 연방/주정부 웹사이트가 비용과 시간을 들여서 https only로 전환했습니다. 아이디/패스워드 등의 중요 정보 문제라면 로그인, 회원 등록 부분 등 그 정보를 주고 받는 웹페이지를 암호화하는 것으로 끝났을 것이고, 그 부분은 이미 https로 보호되고 있었죠. 본질은 사생활 감시 문제인 것입니다.

세상에 기술적으로 완전한 솔루션은 없고, 모든 웹사이트가 https를 사용할 경우 같은 취약점이 모든 웹사이트에서 동시에 생길 수도 있습니다. 하지만 개별 기관이나 기업에서는 전환하지 않았을 경우 생길 수 있는 문제를 고려하면 예방적 차원에서 가장 현실적인 솔루션인 100% https로 갈 수 밖에 없습니다. 이것은 기업과 정부에 대한 소비자/국민의 신뢰 문제이기 때문입니다.

연방 정부 사이트를 보니 대상을 연방 정부 사이트로 한정했네요. This proposed initiative, “The HTTPS-Only Standard,” would require the use of HTTPS on all publicly accessible Federal websites and web services.

논쟁의 내용을 약간 들여다 봤는데 정부 사이트만 얘기하는 것 같지 않네요. 범용적으로 https를 의무적으로 사용하는 데 따른 비용과 저효율에 대한 문제를 얘기하고 있습니다. 작은 기업/단체에서는 감당하기 어려운 요구사항인 것은 맞습니다.

Necromancer의 이미지

직접 해보고 싶으시다면 pcap 라이브러리와 C코드 몇십줄이면 간단한 스니퍼 만들 수 있습니다.
http는 그저 텍스트로만 떠다니는거라 웹서버에 텔넷 접속해서 http 유사하게 흉내내면 데이터 다 받고요. id/pw도 그대로 떠 있음.

Written By the Black Knight of Destruction

댓글 달기

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.