포럼
한창 이슈인 SSL 적용문제..도데체 왜 이렇게 급하게 흘러가죠?
2012.08.17 02:02
저는 SSL의 보안적 측면에서는 동의합니다.
암호화를 통해서 로그인 정보와 개인정보가 암호화 구간을 통해서 넘어가는 기술을 이용한
정책의 취지 자체는 괞찮다고 생각합니다.
하지만 상업 서비스가 아닌 개인정보를 취급하는 모든 사이트에 대한
SSL 적용문제가 도데체 왜 이렇게 급하게 흘러가는지 잘 이해는 안됩니다.
현재 서버에 대한 보안 사고 부분은 대부분 웹 어플리케이션 문제로 당해서
2차적인 서버권한 탈취나 디비 접근을 통해서 발생하는데
SSL은 단순 네트워크상에서만 보안을 해주는 방식으로
디비 정보의 암호화나 웹어플리케이션 보안과는 거리가 멉니다.
정확히 SSL이 유용한 부분은 IDC에서 같은 스위치의 서버가 문제가 생기거나
사용자의 컴퓨터 사용환경쪽에서 네트워크 스니핑 같은 공격시에나 유용한 대응 방법이고
이러한 공격 시나리오에서도 공격자의 mitm 공격에 완벽한 대처가 되지도 않습니다.
대다수의 사용자가 SSL사이트를 접근하더라도 사설 인증서를 사용하는 사이트에 접근해본 경향이 있고
http와 https의 차이점에 대해서 인지하지 못합니다.
대형 사이트와 기업의 책임이라는 측면에서 SSL인증서 도입은 사업 비용의 증가이지만
XE나 그누보드로 운영되는 많은 사이트의 경우에는 좀 어리둥절한 일이 아닌가 싶습니다.
KISA가 보안업계 영역에 많이 뛰어들어서 욕먹는데
차라리 일년에 5천원 받고 정부인증 SSL인증서를 발급해주면서
한국의 개인정보 취급사이트는 SSL인증서를 설치해야된다고 하면 좀 납득이나 하겠는데
그냥 법이 시행되니까 과태료 물기 싫으면 일괄 설치하라고 하는게...
입법한 사람의 눈에는 포탈+쇼핑몰+언론사+기업만 보이고
다른 사이트들은 생각에도 없는게 아닌가 싶습니다.
그냥 SSL적용할거 생각하니 부하는 얼마나 늘련지 걱정이 태산인 관리자의 한탄이었습니다....
ps. SPDY가 SSL보다는 빠르다는데 부하는 같은련지 모르겠습니다.
처음에 구글이 HTTP보다 빠르다고 계속 그래서 꽤 기대했었는데...췟
댓글 6
-
미노아
2012.08.17 02:17
HTTP에 암호화 씌워 놓은게 HTTPS이니 HTTP에 보안이 적용될 일은 없을거 같습니다^^
암호화가 다 좋은데 비용이 상승하는 문제가 발생해서 머리가 아프죠
-
이지데브
2012.08.17 02:19
ssl 관련으로 웹서핑으로 돌아다니다 보면 p스쿨이랄지 g보드랄지 일부 영세 호스팅등은 거의
아무런 내용이 없거나 대응도 없거나 추이를 살피는 중인데..
인증서 업체 및 대형 호스팅 사이트에서만 정통부 법개정을 필두로 인증서 파는데 혈안이 되어 있더군요..
대부분 설치 안하는 쪽 의견이 거의 많습니다.. 요상하게도 xe에서만 유독 이슈화 되어 있어요....
중소규모의 무료 웹도구를 사용중인 사이트들에서는 거의 현 정책이 탁상공론에 불과하고
사장될거라는 분위기가 지배적입니다...
매년 그랬듯이...
-
미노아
2012.08.17 02:28
XE사용자분들이 준법정신이 좀더 높으신게 아닌가 싶습니다.
안전진단이야 대상과 기관이 명확하니 진행되는거지만
커뮤니티 사이트나 중소형 사이트같은 경우는...애매한게 사실인거 같습니다.
실제로 단속하고 행정처리할 인력이나 배정되어 있는지 의문이구요
저는 일단 버텨보다가 문제생기면 적용하던지
아니면 메인페이지를 해외로 이전하던지 할가 생각중입니다.
-
銀童
2012.08.17 16:34
SPDY 가 HTTP 보다 빠릅니다.
SPDY 자체가 SSL 레이어 위에서 작동하기 때문에 SSL 이냐 아니냐는 의미가 없구요.
SPDY (+SSL) 이 HTTP 보다 빠릅니다.
단 IE 10에서 이걸 지원하는지 안하는지 모르겠네요.
-
치사메
2012.08.17 16:47
이제와서 이슈가 되서 그런거지 한참 전부터 이야기는 있었습니다.
저같은 경우도 작년인가 재작년에 공문을 받았는데 비영리사이트라서 넘어갔지만 당시에도 조만간 비영리사이트에도 적용이 된다고 했었습니다.
해당 법의 입법자체도 작년 9월에 되었고 지금까지 이슈가 안되었던 것이 이상한거죠.
그냥 마음같으면 http?에서도 보안을 적용했으면.. ㅎㅎ