목 차
| 평가항목ID | WEB-FIN-026 | 위험도 | 5 |
| 통제구분 | 5.8.3 (전자금융) 단말 보안 | 평가항목 | [전자금융] 통신구간 암호화 적용 여부 |
| 상세설명 | o 이용자 단말과 거래 및 인증을 수행하는 서버간 데이터 보호를 위해 안전한 통신 프로토콜 이용 여부를 점검 * (평가 예시) - 전자금융거래 시 통신구간 암호화(tls) 적용 여부를 점검 |
||
통신구간 암호화 적용 여부
TLS / SSL
TLS(Transport Layer Security) 및 SSL(Secure Sockets Layer)은 인터넷과 같은 네트워크를 통해 보안 통신을 제공하는 암호화 프로토콜입니다. 일반적으로 클라이언트와 서버 간에 보안 연결을 설정하여 이들 간에 전송되는 데이터의 기밀성과 무결성을 보장하는 데 사용됩니다.
SSL은 1990년대에 Netscape에서 개발한 최초의 프로토콜입니다. 일반 HTTP 프로토콜 위에 보안 계층을 제공하여 HTTPS(HTTP 보안) 연결을 생성합니다. 그러나 보안 취약점으로 인해 SSL이 TLS로 대체되었습니다.
TLS는 개선되고 더 안전한 SSL 버전입니다. TLS 1.0, TLS 1.1, TLS 1.2 및 TLS 1.3을 비롯한 여러 버전을 포함합니다. 각 버전에는 보안 취약점을 해결하고 성능을 개선하기 위한 개선 사항 및 수정 사항이 도입되었습니다.
클라이언트와 서버가 TLS/SSL 연결을 설정하면 핸드셰이크 프로세스에 참여하여 보안 통신에 사용할 암호화 알고리즘과 암호화 키를 협상합니다. 이 핸드셰이크는 양 당사자가 공유 암호화 메커니즘에 동의하고 서로의 신원을 확인하도록 합니다.
Handshake가 완료되면 클라이언트와 서버 간에 전송되는 데이터는 높은 보안성과 성능을 제공하는 AES(Advanced Encryption Standard)와 같은 대칭 암호화 알고리즘을 사용하여 암호화 및 복호화됩니다.
TLS/SSL 프로토콜에는 데이터 무결성 확인을 위한 메커니즘도 포함되어 있습니다. SHA(Secure Hash Algorithm)와 같은 암호화 해시 기능을 사용하여 전송 중인 데이터의 메시지 다이제스트를 생성합니다. 그런 다음 이 다이제스트는 보낸 사람의 개인 키로 암호화되어 받는 사람이 보낸 사람의 공개 키로 다이제스트를 해독하여 수신된 데이터의 무결성을 확인할 수 있습니다.
TLS/SSL은 인터넷에서 보안 통신의 표준이 되었습니다. 웹 브라우징, 이메일, 메시징 및 VPN(가상 사설망)을 비롯한 다양한 애플리케이션에서 널리 사용됩니다. 데이터를 암호화하고 도청을 방지함으로써 TLS/SSL은 중요한 정보가 전송 중에 기밀로 안전하게 유지되도록 합니다.
Cipher Suite
Cipher Suite란 TLS 암호통신을 하는 데 사용되는 암호화 알고리즘 및 프로토콜 모음입니다. 보안 통신 세션 중에 사용할 암호화, 인증, 키 교환 및 메시지 무결성 메커니즘을 지정합니다.
클라이언트와 서버와 같은 두 당사자가 보안 연결을 설정하면 둘 다 지원하는 암호화 제품군을 협상하고 동의합니다. 선택한 암호화 제품군은 전송되는 데이터의 기밀성, 무결성 및 신뢰성을 보호하는 데 사용할 알고리즘과 프로토콜을 결정합니다.
일반적인 암호 제품군은 다음 구성 요소로 구성됩니다.
키 교환 알고리즘: 이 알고리즘을 사용하면 통신 당사자 간에 암호화 키를 안전하게 교환할 수 있습니다. 승인된 수신자만 전송된 데이터를 해독할 수 있도록 합니다. 키 교환 알고리즘의 예로는 DH(Diffie-Hellman) 및 ECDH(Elliptic Curve Diffie-Hellman)가 있습니다.
암호화 알고리즘: 이 알고리즘은 무단 액세스를 방지하고 기밀성을 유지하기 위해 데이터를 암호화하는 방법을 결정합니다. AES(Advanced Encryption Standard)와 같은 강력한 암호화 알고리즘은 암호 제품군에서 일반적으로 사용됩니다.
해시 함수: 해시 함수는 전송된 데이터에 대해 고유한 해시 값을 생성하여 데이터 무결성을 보장하고 변조를 감지합니다. 일반적으로 사용되는 해시 함수에는 SHA-256 또는 SHA-3과 같은 SHA(Secure Hash Algorithm) 변형이 포함됩니다.
메시지 인증 코드(MAC) 알고리즘: MAC 알고리즘은 전송된 데이터의 무결성을 확인하고 수정 또는 무단 변경을 감지합니다. HMAC(해시 기반 메시지 인증 코드)는 일반적으로 사용되는 MAC 알고리즘입니다.
인증 프로토콜: 이 프로토콜은 통신 당사자의 신원을 확인합니다. TLS(Transport Layer Security)와 그 전신인 SSL(Secure Sockets Layer)은 클라이언트와 서버 간의 보안 통신을 제공하는 널리 사용되는 인증 프로토콜입니다.
적절한 암호화 제품군을 선택함으로써 통신 당사자는 데이터가 강력한 암호화로 보호되고 인증되고 무단 액세스 또는 변조로부터 보호되도록 합니다. 데이터 전송을 위한 최고 수준의 보안을 보장하기 위해 최신 보안 표준 및 모범 사례를 준수하는 암호화 제품군을 사용하는 것이 중요합니다.
해결방안
1. SSL Labs
Qualys SSL Labs
Books Bulletproof SSL and TLS is a complete guide to deploying secure servers and web applications. This book, which provides comprehensive coverage of the ever-changing field of SSL/TLS and Web PKI, is intended for IT security professionals, system admini
www.ssllabs.com
SSL Labs 접속 후 'Test your server' 선택합니다.
테스트를 위해 www.naver.com 입력합니다.
리포트 결과를 확인합니다.
Cipher Suites 내용 확인하여 'INSECURE', 'WEAK'의 알고리즘 제거합니다.
2. Ciphersuite into
Ciphersuite Info
ciphersuite.info
openssl, nmap 등으로 확인한 chiper suite에 대해 아래의 사이트에서 검색하여 확인이 가능합니다.
취약한 알고리즘을 확인합니다.
'전자금융기반시설 (웹, 모바일)' 카테고리의 다른 글
| SQL Injection (0) | 2023.05.29 |
|---|---|
| [전자금융] 접근매체 발급 시 실명확인 수행 여부 (0) | 2023.05.27 |
| [전자금융] 단말기 브라우저 영역 내에서의 중요정보 노출 (0) | 2023.05.25 |
| [전자금융] 디버깅 탐지기능 적용 여부 (0) | 2023.05.15 |
| [전자금융] 소스코드 난독화 적용 여부 (2) | 2023.05.15 |