요약 (Summary)
2021년 1분기 기준으로 전체 피싱 사이트의 83%가 TLS를 통해 암호화 통신을 하는 HTTPS를 적용하고 있습니다. HTTPS는 중간자 공격으로 알려진 MITM(Man-in-The-Middle)로부터 안전한 통신을 위해 암호화를 제공합니다. SSL을 시작으로 TLS까지 암호화 기술이 발전하고 일부 기술을 폐기함으로써 정보 탈취에 대해 대응해왔습니다.
보안을위해 연구되고 사용되고 있는 HTTPS는 악성 피싱 사이트를 통해 역으로 악의적인 행위를 숨기고 있기 때문에 기존 방식으로는 HTTPS의 암호화 통신을 확인하는 것이 점점 어려워지고 있습니다.
- HTTPS, SSL, TLS
- HTTPS (HyperText Transfer Protocol Secure)
- SSL (Secure Sockets Layer)
- TLS (Transport Layer Security)
중간자공격(MITM,Man-in-The-Middle)은 보안 기능을 제공하지 않는 HTTP를 사용하는 대부분의 웹 서비스에서 사용자 정보를 탈취할 수 있습니다. MITM의 일례를 들면 HTTP로만 서비스하는 온라인 쇼핑몰을 이용하는 고객이 입력하는 계정 정보(ID, PW)나 카드 정보를 실시간으로 수집하고 가짜 정보를 안내하면서 보안 프로그램이나 업데이트 파일로 위장한 악성코드를 다운로드 및 설치하도록 유도할 수 있습니다. 이러한 피해를 막기 위해 HTTPS 사용합니다.
HTTPS는 HyperText Transfer Protocol Secure로 월드 와이드 웹(WWW)의 통신 프로토콜인 HTTP에 보안(Secure)을 강화한 웹 프로토콜입니다. 기존 HTTP의 소켓 통신에서 세션 데이터를 일반 텍스트를 이용하는 대신 SSL이나 TLS 프로토콜을 통해 세션을 암호화할 수 있으며 이 프로토콜들은 각각 HTTP over SSL, HTTP over TLS로 불립니다.
현재 안전한 웹 서비스를 제공하기 위해 2015년에 폐기된 SSL 3.0 대신 TLS를 사용하는 것으로 권장합니다.
SSL과 TLS는 암호화 기술을 통해 MITM 공격으로부터 사용자 정보(웹 데이터) 유출을 방지할 수 있습니다. 하지만 시간 흐름과 기술 발전에 따라 과거의 암호 기술의 한계(암호 무력화)가 드러나면서 더 높은 수준의 암호화 기술로 대체해 왔습니다.
비교적 최근인 2018년에 공개된 TLS v1.3의 경우 제 3자의 서버 연결 감청을 위한 SNI 모니터링까지 방지하는 기능을 갖추어 인터넷 검열하지 못하는 수준의 강력한 사용자 정보 보호에 대한 효과가 제공됩니다.
사용자의 통신 보안기술을 역으로 이용하는 피싱 사이트
HTTPS는 사용자와 웹 사이트(서비스) 사이의 보안을 제공하면서 제 3자가 정보를 확인할 수 없도록 합니다. 하지만 피싱 사이트가 HTTPS를 사용할 경우 보안 서비스는 제3자가 되어 악성 패킷 탐지기능이 무력화되는 사태가 발생합니다.
사용자가피싱 사이트에 접속할 경우 사회공학기법을 통해 보안 프로그램으로 위장한 악성코드(랜섬웨어)를 의심없이 다운로드하여 감염될 수 있습니다. 피싱 사이트가 HTTPS를 사용하면 기존 피싱 공격을 대응하는 솔루션으로는 탐지가 어렵습니다.
MITM과 같이 네트워크 패킷을 수집하여 특정서버로 접속하는 것을 탐지하거나 패킷을 직접 검사하여 악성 행위를 사전에 차단하는 솔루션은 패킷의 정보를 바탕으로 수행합니다. 하지만암호화 된 패킷을 분석하고 탐지하는 행위는 복호화 과정이 추가되어야 하며 복호화를 위한 키값이 있어야 합니다.
APWG(Anti-Phishing Working Group) 公 PhishLabs는 “Trends Report QI 2021”를 배포하면서
2021 년 전체 피싱 사이트 중 약 83%가 HTTPS(TLS)를 통해 암호화 통신을 하고 있음을 공개했습니다. 2019년에 전체 피싱 사이트의 절반을 뛰어넘었고 현재는 대부분의 피싱 사이트는 TLS의 통신 보안을 통해 기존 네트워크 보안 솔루션의 탐지 기능을 무력화하고 있습니다.
또한 2021년 기준 94.5%가 DV 인증서(DV Certificates, 도메인 검증 인증서)로 일반적으로 Let’s Encrypt 및 cPanel과 같은 제공업체에서 무료로 부여하며 사용자 인증이 필요하지 않은 가장 약한 형태의 검사(인증서 유효성)를 제공합니다.
현재 등록된 도메인과 DV 인증서 발급 그리고 피싱 사이트 제작 도구 만으로 짧은 시간 안에 HTTPS가 적용된 피싱 사이트를 제작할 수 있습니다.
적용 솔루션
현재 피싱 사이트와 같이 HTTPS 악용공격이 증가하면서 HTTPS 가시화가 가능한 기술을 요구합니다.
보안이 불가능한 HTTPS 웹페이지의 내부 악성 URL이나 자바 스크립트와 같이 동적 실행이 가능한 코드를 탐지하고 안전한 조치를 수행하는 Mail Prism의 URL 호스트 주소 변경 기술로 해결할 수 있습니다.
사용자가 HTTPS로 SSL이나 TLS를 통해 암호화되어 있는 URL을 클릭하더라도 HTTPS 가시화를 통해
안전한 환경을 제공하며 Mail Prism의 URL 변경 기술은 HTTPS 실시간 검사를 기본으로 별도 추가 작업이 필요 없으며 MITM 방식이 아닌 정상적인 HTTPS(SSL/TLS)연결을 제공합니다.
또한 위험한 사이트가 검출될 경우 즉시 차단 후 안내 페이지를 제공합니다.