TLS/SSL 보다 키보드 보안 프로그램이 더 안전한가요?

yellowstone의 이미지

제가 커뮤니티 게시판에서 누군가가 다음 과 갈이 그런 말을 하더라구요.

"SSL은 무선이든 유선이든 개인PC보안과는 관계가 없습니다.. SSL은 컴퓨터와 컴퓨터간 즉 서버와 개인PC간 보안만 책임질뿐입니다. 사용자와 컴퓨터간 사이에는 아무런 대비책도 없습니다. 3종 보안세트중에 2개는 인증서와 암호화에 관계된 보안이고 한개가 키보드 보안입니다. 사용자와 컴퓨터간 관계하는 보안은 이 키보드 암호화가 유일합니다.
유선이든 무선이든 그 원리는 같고 단지 무선은 중간에서 패킷 가로채는게 더 쉬울뿐입니다. 어차피 이 패킷은 암호화가 되어 있고 해커들이 노리는건 사용자와 컴퓨터간 사이를 노리는겁니다. 즉 무선이든 유선이든 차이는 없다는겁니다."

공인인증서+보안3종세트는 패킷가로채기가 잘 안통하고, TLS/SSL이 그렇게 보안성이 떨어지나요?

hwiorb의 이미지

사람 <-------> 컴퓨터(A) <--- SSL ---> 서버

1. 개인 PC 보안은 "사람과 컴퓨터(A)" 또는 "컴퓨터(A)"에 해당.
2. SSL 보안은 "컴퓨터(A)와 서버" 사이에만 해당.
3. SSL 패킷을 얻었다 하더라도, 쉽게 깰 수 없음.
4. 유선보다 무선이 패킷 가로채기 쉬울 뿐, SSL 패킷이면 쉽게 깰 수 없음.
5. 해커는 SSL 패킷을 까보는 것보다, 컴퓨터(A)를 공격해서 사용자 정보를 획득하는 게 더 쉬움.

"키보드 보안/백신 실시간 감시 기능" 들은 5번을 방지하기 위해 존재하는 것 입니다.
SSL은 통신 규약이기 때문에 무력화가 불가능하지만, 키보드 보안은 일반 프로그램이라서 무력화가 가능하다는 점이죠.
그런데, SSL도 공격하면 해커가 내용을 볼 수 있다는 약점이 있기 때문에 2중, 3중으로 보완하는 거죠.

nil.

yellowstone의 이미지

질문에 답변 감사합니다.
설명 들으면서 이해가 안가는게 "SSL도 공격하면 해커가 내용을 볼 수 있다는 약점이 있기 때문에 2중, 3중으로 보완하는 거죠."
그럼 SSL을 공격 하면 내용을 쉽게 볼수 있나요? 그리고 그걸 어떻게 2중, 3중으로 보완을 하죠?

그리고 공인인증서 + 보안3종세트와 비교해보면 공인인증서 + 보안3종세트가 그리 대단한건가요?

hwiorb의 이미지

그럼 SSL을 공격 하면 내용을 쉽게 볼수 있나요? 그리고 그걸 어떻게 2중, 3중으로 보완을 하죠?

아뇨, 쉽게 볼 수 있는 게 아니라, 특정 조건을 해커가 시도해서 만들어야 합니다. 공격 성공 여부는 해커의 능력과 공격시도 환경에 따라 다르고요.
구글에서 SSL ARP posioning이나 SSL MITM을 찾아보세요. 그런 방식으로 내용이 보여지는 경우가 생기기 때문에, encryption 데이터를 SSL로 내보내거나, 인증서의 키를 가지고, 다른 채널로 따로 통신하기도 합니다.

비교해보면 공인인증서 + 보안3종세트가 그리 대단한건가요?

무엇을 기준으로 말씀하는지 모르겠지만, 보안 3종 세트는 "컴퓨터(A)" 에 설치해서 5번의 상황을 막는 것입니다. 이미 말했다시피 SSL과 비교하기는 서로 다른 영역이기 때문에 불가능합니다. 본문 내용도 잘 읽어보면 그런 내용이고요. 사용자와 컴퓨터 사이의 보안을 책임질 수 있는 방법은 현재로서는 프로그램 밖에 없다는 의미입니다. 문제는 컴퓨터가 이미 해커한테 공격 당한 상황이라면, 보안 3종 세트도 무력화될 가능성도 있습니다. 또 공인 인증서 역시 도난 당했을 가능성도 있습니다.

nil.

yellowstone의 이미지

내용도 답글로 옮김니다.

ggabu420의 이미지

말 그대로입니다.

TLS/SSL 은 클라이언트측 브라우저와 서버 사이에 패킷을 송수신 할 때
키를 비대칭 암호화하여 교환하고 해당 키로 암호화하여 서로 주고받는 것입니다.
그러니 제 3자(공격자)가 만약 ARP Spoofing 등으로 중간에서 패킷을
가로챌 때 주고 받은 정보를 볼 수 없다는 점에서의 보안성이 생깁니다.

하지만 그 전에 만약 컴퓨터가 키로그 악성코드 등에 감염이 되어 있어서
가령 아이디와 비밀번호를 입력할 때 브라우저가 이 정보를 서버에 Request 하기 전
이미 가로채버리는 경우에는 TLS/SSL 은 아무런 영향을 미치지 않습니다.
(암호화 되기 전에 가로채 버리기 때문입니다.)

그래서 그런 경우는 다른 키로그 방지를 위한 클라이언트 사이드 어플리케이션이
동작하고 있어야 보안이 가능합니다. 문제는 이러한 경우에는 사실 공격 기법과
방어 기법이 계속 치고 받고 싸우는 형국이기 때문에 어떻게 해도 보안이 완벽하지 않습니다.

그러나 TLS/SSL 은 일단 다른 MITM 등의 가정을 모두 제쳐놓고
제 3자가 중간에 오가는 암호화된 패킷을 단순히 받기만 했다고 할 경우
비대칭 암호 기법이 깨지지 않는 한 복호화는 거의 불가능하다고 보면 됩니다.

결론은 TLS/SSL 은 패킷 감청에 대한 보안이지 사용자의 컴퓨터 단에서의
보안을 보장해주는 게 아닙니다. 애초에 목적이 다르다는 얘기죠.

I'm really newbie programmer.

cleol의 이미지

인용하신 내용은 맞는 말입니다.

> 공인인증서+보안3종세트는 패킷가로채기가 잘 안통하고, TLS/SSL이 그렇게 보안성이 떨어지나요?

인용하신 글을 잘 읽어보세요. 인용하신 글에 그런 내용은 없습니다.

TLS/SSL은 데이터 전송시 키 교환과 암호화에 대한 규약입니다.
악성 코드가 키보드 입력을 가로채는 것과는 아무런 관계도 없습니다.
즉 TLS/SSL은 키보드 입력 가로채기에 대한 보안을 제공하지 않습니다.

우리나라 공인인증체계는 암호화에 관해서는 TLS/SSL과 유사한 (거의 같은?) 방식을 사용합니다.
키 교환과 데이터 전송에 관해서는 이 규약을 따르는 거지요.
즉 패킷가로채기에 관해서는 둘이 별 차이가 없습니다.

우리나라 공인인증체계는 TLS/SSL를 사용하는 것에 더해서 추가적인 보안 기능을(부인방지등) 제공합니다.
다시말해서 TLS/SSL은 공인인증체계에 비해 적은 보안기능을 제공합니다.
우리나라 공인인증체계는 호환성에서 큰 문제가 있지만 보안성 자체는 TLS/SSL에만 의존하는 것에 비해 낫습니다.
굳이 비교하자면 공인인증과 TLS/SSL+OTP를 비교한다던지 해야지 그냥 TLS/SSL과 비교하는 것은 별 의미없습니다.

IsExist의 이미지

애초에 보호하는 영역이 달라 비교가 불가능합니다.

(1)키보드 보안은 사용자 컴퓨터의 키보드 입력을 보호하는 용도 입니다.
(2)SSL/TLS 는 네트웍 트래픽 감청을 보호하는 용도 입니다.

(1) 은 특정 OS에 특화된 기능을 사용하는 거라 말이 많죠.
(윈도우즈 다바이스 드라이버, 키보드 후킹)

---------
간디가 말한 우리를 파괴시키는 7가지 요소

첫째, 노동 없는 부(富)/둘째, 양심 없는 쾌락
셋째, 인격 없는 지! 식/넷째, 윤리 없는 비지니스

이익추구를 위해서라면..

다섯째, 인성(人性)없는 과학
여섯째, 희생 없는 종교/일곱째, 신념 없는 정치