SSL 프로토콜의 CipherSuite 설정 문제점과 해결 방안

Abstract

인터넷과 정보통신기술의 사용이 일반화되면서 인터넷 상에서 중요한 데이터를 안전하게 전송해야 함에 따라 SSL 프로토콜의 사용은 필수요소가 되었다. SSL 프로토콜은 메시지 위/변조 공격과 같은 능동적인 공격에 안전하도록 설계가 되었지만 CipherSuite 설정 변경은 별다른 제약 없이 수정이 가능하다. 공격자가 Client의 시스템의 오작동을 유도하여 CipherSuite 설정을 키 길이가 낮은 대칭키 알고리즘으로 변경한다면 도청하여 데이터를 해독할 수 있다. 본 논문은 키 길이가 낮은 대칭키 알고리즘 설정에 대한 국내 웹사이트의 보안세션 생성 조사 및 CipherSuite 설정 문제점에 대한 해결책을 제시한다. As the use of Internet and information communication technology is being generalized, the SSL protocol is essential in Internet because the important data should be transferred securely. While the SSL protocol is designed to defend from active attack such as message forgery and message alteration, the cipher suite setting can be easily modified. If the attacker draw on a malfunction of the client system and modify the cipher suite setting to the symmetric key algorithm which has short key length, he should eavesdrop and cryptanalysis the encrypt data. In this paper, we examine the domestic web site whether they generate the security session through the symmetric key algorithm which has short key length and propose the solution of the cipher suite setting problem.