올해 국정감사에서는 공공기관 웹사이트의 취약한 보안이 화두에 올랐습니다.
김영배 더불어민주당 의원이 이같은 문제를 지적했습니다. 당시 김 의원은 공공기관 웹사이트 1천280개 중 583개는 HTTPS가 아닌 HTTP로 연결되는 사이트라며, 보안 위협이 있을 수 있다고 지적했죠.
실제로 HTTP 사이트인 대법원 사이트에 사용자가 입력한 계정 정보를 해킹으로 알아내는 모습을 보여주기도 했습니다.
사용자 입장에선 이런 해킹의 피해자가 되진 않을지 우려할 수 있습니다. 공공뿐만 아니라 민간 웹사이트도 종종 HTTP로 연결되는 것을 볼 수 있기 때문이죠. HTTP 웹사이트를 이용하는 것만으로 내 계정 정보가 털리는 건지, 이미 털린 건 아닌지 두려움과 걱정이 생기는 이유입니다.
HTTP와 HTTPS의 차이점이 무엇이고, 이같은 해킹이 어떻게 가능한지, 사용자가 주의해야 할 점은 무엇인지에 대해 해킹 과정을 따라하면서 알아봤습니다.
■옆자리 PC에서 입력한 계정 정보, 패킷 훔쳤더니 다 보였다
HTTP는 웹사이트를 호스팅하는 웹 서버와 사용자 간 통신을 지원하는 프로토콜입니다. 보안이 취약하다는 지적을 듣는 이유는, 통신 과정에서 주고 받는 데이터가 암호화되지 않기 때문입니다. 그리고 이런 문제를 개선하고자 통신 데이터를 암호화해주는 프로토콜이 HTTPS인거죠.
김 의원이 보여준 해킹은 HTTP 웹사이트와 오가는 데이터 패킷을 빼돌리고, 이 중 로그인에 필요한 계정 정보를 검출한 사례입니다.
이같은 해킹이 가능하려면 해커와 피해자가 '허브' 환경에 있어야 합니다. 허브 환경은 허브를 통해 연결된 PC들에게 신호를 전달하는 것으로, 허브가 들어오는 신호의 송신지와 수신지를 구별하지 못합니다. 허브 환경보다는 "각 포트에 연결돼 있는 PC의 고유 식별자인 MAC주소가 기록돼 있고, 신호를 해당되는 PC에만 전달하는 '스위치' 환경이 일반적"이라는 게 김건엽 SK인포섹 수석의 설명입니다.
스위치 환경이라면 해커는 'ARP 스푸핑'이라는 공격을 통해 데이터 패킷을 가로챌 수 있습니다. 이 공격을 통해 공격자는 피해자 PC에서 스위치로 전달되는 신호와, 스위치에서 피해자 컴퓨터로 전달되는 신호를 자신의 PC로 우회하도록 조작합니다. 중간에서 오고 가는 데이터를 열어볼 수 있게 되는 것이죠.
이후 과정에서는 '와이어샤크'라는 프로그램이 필요했습니다. 피해자 PC와 스위치 간 데이터를 중계하는 환경을 조성한 뒤, 패킷 분석 프로그램인 와이어샤크를 이용해 원하는 정보를 탈취하는 것입니다.
와이어샤크를 열자 피해자 역할인 옆 사람 PC의 통신 데이터 패킷들이 쉴새없이 갱신됐습니다. 패킷 내용에서 'login'을 검색하자 옆 사람이 입력한 로그인 정보를 간단히 찾을 수 있었습니다.
계정 탈취 공격 외 다른 공격도 이뤄질 수 있습니다. 네트워크 스캔 명령어를 입력해 같은 네트워크 상에 연결된 PC들을 확인하거나, PC에서 열려 있는 서비스를 확인한 뒤 이 서비스들을 공격하는 것도 가능하다고 합니다.
■'HTTP' 피하고 공공 와이파이 주의해야…보안 수칙 준수는 기본
ARP 스푸핑 공격에 사용자는 취약할 수밖에 없는 걸까요. 일단 보안 경고창이 나타나는 HTTP 웹사이트를 최대한 이용하지 않는 것이 좋다는 조언입니다.
HTTPS 웹사이트의 경우에는 데이터 패킷이 암호화돼있기 때문에 이런 방법으로 패킷 내용을 검색해도 계정 정보를 파악할 수 없었습니다.
브라우저로 웹사이트에 접속할 시 주소창 앞단에 웹사이트와의 연결이 안전한지 알아볼 수 있습니다. 자물쇠 아이콘을 클릭하면 해당 웹사이트의 SSL 인증서가 안전한지 살펴볼 수 있습니다. 인증서의 발급자와 상태 등에 대한 정보가 나타납니다.
관련기사
- 행안부, 전체 공공 사이트에 HTTPS 도입 검토2020.10.27
- 공공기관, 보안 허점 방치…책임자가 없다2020.10.14
- SSL 오발급 42%는 인증기관 SW버그·규정 미숙 탓2019.10.14
- 파이어폭스70부터 모든 HTTP 사이트 주소창에 보안 경고2019.07.17
이 공격은 해커가 피해자와 같은 네트워크에 연결돼 있어야 합니다. 이런 점을 고려할 때 공공장소에서 제공하는 와이파이 등을 통해 HTTP 웹사이트를 이용하면 해킹 위협에 노출될 가능성이 있습니다.
김건엽 수석은 그 외 해킹을 최대한 예방할 수 있는 대책으로 "일회용 비밀번호(OTP) 등을 활용한 2단계 인증을 적용해 계정을 보호하고, 각종 보안 업데이트를 최신 버전으로 적용하는 식으로 사용자가 보안에 만전을 기해야 한다"고 당부했습니다.