로그인 보안 기술 및 현황
이봉진 박용훈 박연지
개요
1. 발표 주제
2. 로그인이란?
1) 로그인이란 무엇인가?
2) 인증 시스템의 종류
3. 로그인 보안의 3 대 핵심
1) 봇 방지 기술
2) 안전한 패스워드
3) 암호화 기술
4) 이외의 서브 기술
4. 현재 로그인 보안의 상황
1) 국내 웹사이트
2) 해외 웹사이트
3) 국내 대학 웹사이트
4) 사례를 통한 보안의 문제점
5.결론
발표 주제 및 방향
발표 주제
현재 쓰이고 있는 로그인의 보안 기술에 대해 알아보고 여러 웹사이트에 적용되어 있는
현황을 알아본다. 특히 아직까지도 자주 쓰이고 있고 보안에 취약한 ID/PW 방식을
집중적으로 조사한다.
주제 선정 이유
초기에는 광운대학교 홈페이지 보안에 대해서 조사하려 했으나 기술적 한계로 로그인 관련
부분만 조사를 실시함 이후에 주제를 변경해 로그인에 대해 조사를 실시 하였습니다. 특히
로그인 중에서도 ID/PW 를 사용한 기본적인 로그인에 대해 조사를 함. 저렴하면서도
간편하기 때문에 초기부터 지금까지 널리 쓰이고 있지만 보안에 취약한 점이 있기 때문에
이것에 대해 알아볼 만 하다고 판단함
주제 조사 내용
로그인이란 무엇인가?
In computer security, logging in is the process by which an individual gains access to a
computer system by identifying and authenticating themselves.(위키피디아 영문판)
컴퓨터 보안에서 로그인이란 식별하고 인증해서 개별적으로 컴퓨터 시스템에 접근권한을
얻는 것을 말한다
즉 나 자신임을 인증하는 방법!
인증 시스템
Something You Know - ID/PW
Something You Have - Smart Key, 공인인증서, OTP
Something You Are - 생체 인증
+
Somewhere You Are - IP 주소
우리는 ID/PW 방식을 집중적으로 설명하려고 함
Why? – 가장 원초적인 보안 방법이고, 값싸고 간단하기 때문에 가장 널리 쓰이고 있지만
그럼에도 불구하고 보안에 취약하다는 단점이 있어서
로그인 보안의 3 대 핵심
우리가 선정해본 로그인 보안의 3 대 핵심은 Brute-Force-Attack(무차별 대입공격) 등에
대항하기 위한 봇 방지 기술(CAPTCHA)과 안전한 패스워드, 마지막으로 서버에 보관되는
패스워드 등 개인정보의 암호화 기술
을 로그인 보안의 3 대 핵심으로 선정해 보았음
*Brute-Force-Attack(무차별 대입 공격)이란?
특정한 암호를 풀기 위해 가능한 모든 값을 대입하는 것을 의미한다. 대부분의 암호화 방식은
이론적으로 무차별 대입 공격에 대해 안전하지 못하며, 충분한 시간이 존재한다면 암호화된
정보를 해독할 수 있다
왜 봇 방지 기술(CAPTCHA)이 필요한가?
- 최근 일명 파나마 페이퍼 사건이라 불리는 법률회사 모색 폰세카의 정보 누출 역시 암호화
되지 않은 메일 서버에 Brute-Force-Attack 공격을 통해 정보를 얻어낸 것으로 추정됨. 또한
작년 12 월부터 16 년 1 월까지 대형 카드사 두 곳의 기프트카드 cvc 번호가 무차별
대입공격으로 인하여 유출되어 약 2 억원 이상의 피해가 발생함.
이런 범행이 일어난 이유는? 기초적인 봇 방지 기술조차 없었기 때문
CAPTCHA 란 무엇인가?
CAPTCHA : Completely Automated Public Turing test to tell Computers and Humans Apart.
즉, 사용자가 실제 사람인지 프로그램인지 구별하기 위해 사용되는 방법의 통칭
텍스트 캡챠 - 가장 많이 쓰이지만 그만큼 많이 뚫어내려는 시도도 있었다.
이미지캡챠 – 보기나 제시문과 같은 그림을 고르라는 형식.
슬라이드 캡챠 - 드래그 & 드롭을 활용
안전한 패스워드?
CAPTCHA 기술이 적용되지 않은 웹 페이지가 있다면 해커들은 Brute-Force-Attack 으로
당신의 아이디로 접속을 시도할 것이다. 이 때 무작위 글자, 숫자를 대입하기 보다는 자주
쓰이는 비밀번호를 먼저 시도할 것이다.
예시) 스플래시 데이터가 발표한 2014 최악의 패스워드 25 개
패스워드 어떻게 만들까?
KISA 에서 권고하는 패스워드의 구성 및 길이
http://m.technoa.co.kr/news/articleView.html?idxno=84886 참조
1. 각 계정마다 다른 비밀번호를 생성할 것
2. 비밀번호를 공유하지 말 것
3. 주기적으로 비밀번호를 변경할 것
4. 개인 식별 정보를 사용하지 말 것
5. 2 단계 인증을 사용할 것
사이트 별로 다른 비밀번호를 만드는 것이 보안에 안전하다.
<http://minix.tistory.com/406>
비밀번호 안전하게 보관되고 있나요?
<위키백과 : 대한민국의 정보 보안 사고>
이렇게 수많은 정보 보안 사고에 의해 누출된 우리의 비밀번호 및 개인정보
암호화 되어 있다고 하는데 정말 안전할까?
패스워드의 저장
일반적으로 웹사이트의 경우 단방향 해시 함수의 다이제스트 방식으로 패스워드를 암호화
하여서 저장한다.
hunter2 이라는 비밀번호를 해시 알고리즘으로 통해 나온 다이제스트 값을 저장해 놓는다면,
수학적으로는 그 다이제스트 값을 역으로 연산해서 hunter2 라는 원래의 비밀번호를 알아 낼
수가 없다. (역 연산 불가)
게다가 hunter2 과 hunter3 의 다이제스트 값이 서로 많이 다르기 때문에 다른 값을 안다고
해서 유사한 값을 유추해 내기가 어렵다.(이것을 쇄도 효과(avalanche effects)라고 한다)
단방향 해시함수 방식의 문제점
해당 해시함수에 대해 충분히 많은 다이제스트 값의 데이터를 가지고 있다면 탈취해낸
다이제스트 값과 비교해 원래의 비밀번호를 알아낼 수 있다. 여기서 쓰이는 다이제스트 값의
데이터들을 레인보우 테이블이라 한다.
또한 해시 함수의 경우 데이터 검색에 좋게 설계 되어 있기 때문에 짧은 시간에 많은 데이터를
검색하기에 편하다. 역으로 해커들이 데이터를 분석하기에 편하다.
(MD5 방식의 경우 일반적인 장비로 1 초에 56 억개의 다이제스트의 대입이 가능하다. 참고로
MD5 방식은 이미 많은 위험에 노출 되어 권고 되지 않는 방법이지만 최근 뽐뿌 개인정보 유출
시 비밀번호가 MD5 방식으로 저장되어 있었다고 함)
단방향 해시함수의 문제점 보완
솔팅 - 원래의 비밀번호에 다른 임의의 긴 문자를 넣어서 해시처리 하는 것을 말한다. 여기서
임의의 긴 문자를 솔트라고 한다
키 스트레칭 - 입력한 패스워드로 나오는 다이제스트를 입력 값으로 다시 다이제스트를
설정하는 방법을 반복해서 다이제스트를 보관한다.
잘 설계된 방법에서는 이런 다이제스트를 설정하는데 고의적으로 긴 시간이 소요되게
설정하는데 (약 0.2 초 이상) brute-force-attack 에 많은 시간이 소비되게 하는 방법.(아이폰의
패스워드 보안에도 이와 유사한 방법이 들어있다고 함)
더 심화된 방법으로 PBKDF2,bcrypt,scrypt 등이 존재(솔팅과, 키 스트레칭, 다이제스트 설정
시간등을 조정해서 변화시키는 방법)
사용이 권장되는 암호화 알고리즘
보조적인 로그인 보안 기술
Something You Have - 네이버 등에서 사용하는 일회용 로그인(정상적으로 로그인 한
모바일에서 발급 받은 임시번호를 입력하면 PC 등에서 ID/PW 입력 없이 로그인 가능)
Somewhere You Are - 해외 IP 에서의 로그인 제한(국내 주요 포탈), Brute-Force-Attack 이
예상 될 때 해당 IP 의 로그인을 잠시동안 차단(넥슨)
국내/외의 웹사이트 로그인 보안
3 대 주요 보안 기술 중 비밀번호 암호화 기술은 공개 되어 있지 않아서 봇 방지 기능과
비밀번호 길이 설정에 대해 국내/외 사이트에 대해 조사해 보고 KISA 권고안을 기준으로
안전도를 평가해 본다
(KISA 비밀번호 조건 중 취약한 패스워드 조건에 해당하면(길이가 7 자 이하,8 자 이하 2 가지
종류) 빨간불, 안전한 패스워드 조건(3 종류 8 자, 2 종류 10 자)에 해당하면 초록불 중간이면
노란불
봇 방지 기술이 있으면 초록불, 부족하면 노란불, 없으면 빨간불)
국내 웹사이트
네이버
비밀번호 조건 - 빨간불 (6 자로도 비밀번호 설정이 가능하다), 초록불(쉬운 비밀번호 생성
제한)
봇 방지 기술 - 초록불 (보안 문자 입력)
다음
비밀번호 조건 - 노란불 (8 자 이상으로 두 종류 문자로 비밀번호 설정 가능), 초록불(쉬운
비밀번호 생성 제한)
봇 방지 기술 - 초록불 (보안 문자 입력)
네이트
비밀번호 조건 - 노란불 (8 자 이상으로 두 종류 문자로 비밀번호 설정 가능) 초록불(쉬운
비밀번호 생성 제한)
봇 방지 기술 - 초록불 (보안 문자 입력)
---------큰 규모의 웹사이트 답게 봇 방지 기술과 쉬운 비밀번호 생성 제한 등의 조치가 충분히 되어
있지만 많은 이용자들이 쓰기 때문인지 쉬운 방식으로도 비밀번호의 생성을 허용함.
글로벌한 시대에 맞춰 해외 IP 에 대한 Lock 을 ON/OFF 가 가능하니 추가적 설정으로 더욱
안전하게 이용이 가능하다.
----------
넥슨
비밀번호 조건 - 빨간불 (6 자로도 비밀번호 설정이 가능하다), 초록불(쉬운 비밀번호 생성
제한)
봇 방지 기술 - 노란불 (봇 방지는 아니나 비밀번호 여러번 틀릴 시 해당 ip 임시 차단)
넷마블
비밀번호 조건 - 노란불 (8 자 이상으로 두 종류 문자로 비밀번호 설정 가능), 초록불(쉬운
비밀번호 생성 제한)
봇 방지 기술 - 노란불 ( 5 회 이름/생년월일 입력)
---------게임 관련 웹사이트 들이기 때문에 많은 해킹 시도를 겪어 왔을 것 같고 그래서 인지 독특한
봇 방지 기술을 사용하고 있다. 기본적으로 퍼블리싱 문제 때문인지 해외 IP 에 대한 접속이
아예 차단되기 때문에 보안에 상대적으로 더 안전할 수도 있다.
----------
해외 웹사이트
구글
비밀번호 조건 - 노란불 (8 자 이상으로 두 종류 문자로 비밀번호 설정 가능), 초록불(쉬운
비밀번호 생성 제한)
봇 방지 기술 - 초록불(reCAPTCHA 라는 자체 개발한 최신 봇 방지 기술 적용)
페이팔
비밀번호 조건 - 노란불 (8 자 이상으로 두 종류 문자로 비밀번호 설정 가능), 초록불(쉬운
비밀번호 생성 제한)
봇 방지 기술 - 초록불 (보안 문자 입력)
---------글로벌한 기업 답게 봇 방지 기술도 자사의 기술이 들어가있는 것 같으며 쉬운 비밀번호
생성에 대한 제한도 잘 되어 있다
----------
알리 익스프레스
비밀번호 조건 - 빨간불 (6 자로도 비밀번호 설정이 가능하다), 빨간불(쉬운 비밀번호 생성
제한 없음)
봇 방지 기술 - 초록불 (슬라이드 CAPTCHA 사용)
라이엇 재팬
비밀번호 조건 - 노란불 (8 자 이상으로 두 종류 문자로 비밀번호 설정 가능), 빨간불(쉬운
비밀번호 생성 제한 없음)
봇 방지 기술 - 초록불(구글의 reCAPTCHA 사용)
검트리
비밀번호 조건 - 빨간불 (6 자로도 비밀번호 설정이 가능하다), 빨간불(쉬운 비밀번호 생성
제한 없음)
봇 방지 기술 - 초록불 (보안 문자 입력)
---------작은 규모의 사이트들 답게 비밀번호 조건도 쉽고, 쉬운 비밀번호 생성에 대한 제한도 없다.
그래도 기본적인 봇 방지 기술은 갖추고 있다.
---------국내 대학
동국대
비밀번호 조건 - 초록불(3 종류로 8 자리 이상), 빨간불(쉬운 비밀번호 생성 제한 없음)
봇 방지 기술 - 노란불(30 분간 접속 제한)
한국외대
비밀번호 조건 - 빨간불(본인의 생년월일 6 자리), 빨간불(본인의 생년월일로 고정)
봇 방지 기술 - 빨간불(없음)
건국대
비밀번호 조건 - 빨간불(제한 거의 없음, 2 자리도 가능), 빨간불(쉬운 비밀번호 생성 제한 없음)
봇 방지 기술 - 빨간불(없음)
광운대
비밀번호 조건 - 빨간불(3 종류지만 6 자로도 생성가능), 빨간불(쉬운 비밀번호 생성 제한 없음)
봇 방지 기술 - 빨간불(없음)
---------비밀번호 조건도 매우 쉽고, 쉬운 비밀번호에 대한 제한은 아예 없고 봇 방지 기술도 미비하다.
매우 보안에 취약한 구조이다.
---------이 등급을 매긴 것은 최소 요건이 KISA 의 안전한 패스워드 조건을 만족하는 가를 측정한
것입니다. 사용자가 원한다면 안전한 조건의 패스워드를 대부분 생성 가능함
가까운 사례에서 찾아본 보안의 문제점
광운대 학생이 광운대 U-캠퍼스를 통한 Brute-force 공격을 시도. 다른 사람이 제출한 과제를
복사해서 제출했다가 적발 - 봇 방지 시스템 도입이 필요(관리자의 노력 필요)
비밀번호를 동일하게 사용했었는데 매우 비밀번호가 강력한 조건임에도 불구하고 네이트
메일이 해킹당해 나에게 보낸 메일함에 해커가 악성 코드를 심어놓음 - 사이트 별로 다른
비밀번호 이용 (이용자의 노력이 필요)
네이버 단독 비밀번호를 사용하였고 해외 IP 로그인 제한도 해놓는 등 대비를 철저하게
하였으나 해외 해커가 한국 IP 로 우회 한 뒤 로그인 해서 해외 IP 로그인 제한을 푼 뒤 다시
해외에서 접속하는 방법을 이용 - 비밀번호는 꾸준히 변경해 주는 것이 안전하다(관리자의
권고와 이용자의 노력 모두가 필요)
결론
수많은 로그인 보안 기술을 보았고 항상 허점이 밝혀지고 그것에 맞춰서 발전해 나가고 있다.
언제나 위험은 존재한다. 고로 완벽한 보안은 없다!
조원별 역할 분담
이봉진 - 해외 큰규모 사이트 현황 조사, 암호화 기술 조사, 제안서 정리
박용훈 - 해외 중간 규모 사이트 현황 조사, CAPTCHA 기술조사, 안전한 비밀번호 조사
박연지 - 국내 사이트 현황 조사, KISA 권고안 조사, 국내외 웹페이지 보안조사
발표 예상 시간 - 20 분