인프런 커뮤니티 질문&답변

상민님의 프로필 이미지
상민

작성한 질문수

외워서 끝내는 SSL과 최소한의 암호기술

CA에 대해서 신뢰하는 해커의 MITM

해결된 질문

작성

·

334

0

어려운 내용을 쉽게 풀어 설명해 주셔서 이해하는데 큰 도움이 되었습니다.

"서버로 부터 수신한 공개키를 신뢰할 수 있는가 ?"의 해결 방법으로 신뢰할 수 있는 기관으로 부터 발급된 인증서를 기반한 인증체계 적용으로, 이 이슈는 해결된 것으로 볼 수 있는지 궁급합니다.

제목과 같이 CA에 대해서 신뢰하는 중간자의 공격이기 때문에 "신뢰할 수 있는가 ?"는 해결됐지만, 여전히 Session key 탈취가 가능할 것으로 생각됩니다.

이를 이용한 공격이 있는지 또는 제 생각이 터무니 없는 이상한 생각인지 궁급합니다 ! ㅎㅎ

답변 1

2

널널한 개발자님의 프로필 이미지
널널한 개발자
지식공유자

아니오, 그렇지 않습니다. 국가조직이 있고 강력한 검경이 존재해도 범죄가 일어나듯이 구조의 헛점은 늘 있으며 보안 사고는 늘 발생합니다. 구체적인 방법을 알려드리는 것은 적절치 못하다 판단해 답변으로 달지는 않겠습니다. 다만 도구 하나를 소개해드리겟습니다. Fildder라는 도구인데 이 도구를 이용해 SSL inspection이 가능합니다. 설치 시 매우 중요한 경고 문구를 볼 수 있는데 참고가 될 것입니다.

날이 선 칼을 주방장님이 가지고 계시면 좋은 요리를 먹을 수 있겠지만 나쁜 악당 손에 들린다면 흉기로 변합니다. 앞으로 보안을 공부할 생각이 있다면 기술 그 전에 철저한 윤리의식을 먼저 챙겨야 합니다. 참고하시기 바랍니다.

상민님의 프로필 이미지
상민

작성한 질문수

질문하기