Softpedia에 올라온 기사 <90 Percent of All SSL VPNs Use Insecure or Outdated Encryption>를 살펴보면, SSL VPN의 90% 정도가 오래된 암호와 기술과 안전하지 않은 암호화 기술을 사용하고 있어 적절한 보안 수준을 제공하지 않는 것으로 밝혀졌다.
SSL VPN은 기존의 IPsec기반의 VPN과 달리, 웹 브라우저에서 서버에 접속하여 이용하는 타입의 VPN이다(웹 브라우저는 SSL VPN서버에 설치된 호스트에 접속해, 웹 브라우저로 바로 VPN 기능을 이용할 수 있다). 이 방식은 클라이언트 측에 전용 소프트웨어를 설치할 필요 없이 쉽게 이용할 수 있다는 특징을 가지고 있다. 암호화는 통신경로와 SSL또는 TSL를 사용한다.
High-Tech Bridge의 조사에 따르면 무작위로 선정한 10,436의 SSL VPN서버를 조사할 결과, 그 중 77%가 이미 이용정지가 권장되는 SSLv2혹은 SSLv3를 사용하고 있다고 지적했다. 또한 현재 사용되고 있는 SSL버전에 관계없이 SSL VPN서버의 76%가 검증할 수 없는 SSL인증서를 사용하고 있어 중간자 공격(man in the middle attack, MITM)에 이용될 수 있다는 경고도 했다. (※인증서가 만료됨에도 불구하고 갱신하지 않은 것이 주된 원인이라 한다)
또한, 인증서의 74%가 SHA-1서명으로 로그인되며, 5%는 MD5로 로그인 된다는 것도 문제라 지적했다. 모두 이미 안전하다고 말할 수 없는 것들로, 이용정지를 촉구하는 방식이다. 설상가상으로 SSL VPN의 10%정도는 OpenSSL의 취약점인 'Heartbleed'를 끌어안고 있는 심각한 결과를 보이기도 했다.
조사 결과 말미에는 SSL VPN 중, PCI DSS요구에 따르는 것은 3%, NIST가이드 라인을 따르는 것은 1개도 존재하지 않는다고 적었다. SSL VPN은 쉽게 사용할 수 있어 인기가 많지만, 운용 상황을 살펴보면 보안 측면에서 바람직한 상태라 할 수 없음이 드러났다. SSL VPN서비스를 이용하고 있는 경우, 보안상태를 점검하고 필요에 따라 더 높은 수준의 보안 서비스로 전환을 고려하는 것이 바람직하다.
'IT.과학.기술' 카테고리의 다른 글
| 음식을 출력한다! 미슐랭 2스타 레스토랑에서 3D프린터를 이용한 요리에 도전 (0) | 2016.03.02 |
|---|---|
| 애플 건물에서 밤마다 들리는 수수께끼의 소리? (0) | 2016.03.02 |
| 스마트폰에서 데이터 누설로 인한 기업의 손실은 1대당 9,485달러 (0) | 2016.03.02 |
| 애플과 삼성의 대결은 계속된다: 삼성 페이 중국에서 모니터링 시작 (0) | 2016.03.01 |
| <현금이 필요 없는 사회>로 변한 소말리아: 스마트폰과 적은 은행, 불안정한 사회 (0) | 2016.03.01 |
