SSL 인증키도 가로채... "추가보안 기술 절실"
스마트폰으로 악성 와이파이(Wi-Fi) AP 장치에 접속하는 과정에서 관련 개인정보가 해커에게 순식간에 넘어갈 수 있다는 사실이 실험을 통해 확인됐다고 동아일보가 2일 보도했다.
보도에 따르면, UNIST(울산과기대) 서의성 전기전자컴퓨터공학부 교수 연구팀은 지난달 28일 학교 연구실에서 ‘가짜 무선접속장치(AP)’를 만들어 실험에 참여한 소속 연구원과 해당 취재기자의 개인정보를 해킹하는데 성공했다.
실험 대상 10곳 가운데 다음, 야후, 구글, 페이스북, 트위터, UNIST 홈페이지, 강의관리시스템(블랙보드), 정보통신산업진흥원 등이 뚫렸다. 자체 로그인 암호화 시스템을 가진 네이버와 넥슨은 해킹에 실패했다.
이번에 실험한 방식은 해커가 만든 가상의 가짜 AP를 설치해 두고 이에 접속하는 사람들의 웹사이트 사용 정보를 가로 채는 방식이다. 일부에서는 이미 알려진 기술이지만, 이번 실험에서는 SSL 인증키마저 가로챔으로서 보안 통신도 농락당했다는 것이 확인된 셈이다. 게다가 이번 ‘SSL 인증키 가로채기’는 UNIST 전산과 2학년 학부생이 2주일 만에 해냈다는 점에서 충격을 주고 있다.
신문은 "이번 실험이 성공함으로써 카페나 백화점 등 어느 곳에서든 스마트폰으로 인터넷에 접속할 때 이를 중간에 가로채 사용자의 개인정보를 모두 빼낼 수 있다는 사실이 밝혀졌다"며 "추가 보안을 위한 기술이 시급하다"고 진단했다.
보도 원문
http://news.nate.com/view/20110502n01523?mid=n0604
http://news.donga.com/It/New/3/08/20110502/36857932/1
전자신문/전자신문인터넷 테크트렌드팀