네트워크 데이터 전송시 암호화 통신을 하지 않아 중요정보 등이 평문으로 전송되는 취약점
-고유식별정보, 비밀번호, 공인인증성 등
원인 : 통신 시 데이터 암호화가 미흡하거나 미적용으로 발생
피해 - 통신채널 스니핑을 통해 인가되지 않은 사용자에게 민감한 데이터가 노출됨
스니핑 : 네트워크 상에서 다른 상대방의 패킷교환을 엿보는 것을 의미
MITM(Man In the Middle) 중간자 공격 : 네트워크 통신의 중간에서 공격자가 통신패킷 주고 받음
스푸핑 : MAC주소, IP주소, DNS주소 등을 속임을 이용한 공격
SSL/TLS(Secure Socket Layer) : 웹 서버와 브라우저 사이의 암호화 통신 전송 기술
-데이터를 비대칭 암호화(공개키/개인키) 암호화
-인터넷 상에서 통신을 암호화해 악의를 가진 제3자 변조등을 방지하는 것을 목적
https로 표시된 떄는 SSL이 실행되고 있다.
SSL Strip : SSL을 벗겨낸다. HTTPS 통신을 강제로 HTTP통신을 하게 만드는 공격
중요정보 암호화 미적용
정보,패스워드,개인식별번호를 와이어샤크를 이용하여 패킷캡처하여 비밀번호 도출
SSL Server Test : SSL/TLS 점검을 도와주는 사이트
https://www.ssllabs.com/ssltest/
SSL Server Test (Powered by Qualys SSL Labs)
SSL Server Test This free online service performs a deep analysis of the configuration of any SSL web server on the public Internet. Please note that the information you submit here is used only to provide you the service. We don't use the domain names or
www.ssllabs.com
E2E 암호화(End To End Encryption)
-E2E암호화는 인터넷뱅킹 사용자가 거래를 하기 위해 키보드 입력정보를 서버로 전달하는 전 구간
공인인증서에 사용에 이용되는 환경을 유지한 상태에서 키보드 보안 솔루션과 연계하여 정보를 암호화
보안대책
-중요정보 전송 최소화
웹 통신시 불필요한 비밀번호,주민등록번호 같은 중요정보 최소화
-취약한 SSL/TLS 사용금지
중요 정보에 대해서는 SSL/TLS통신을 하며 취약한 암호화 사용하지 않음
웹 서버와 DB간의 통신에도 TCP/IP 레벨 암호화 적용 권고
-확장 E2E 암호화
금융부문 암호기술 활용가이드에 따라 E2E암호화 기능에 무결성 검증 기능 추가