SSL이 당신을 보호합니까, 아니면 양쪽 끝이 열려 있는 콘돔입니까?
사실인가요?
SSL은 두 장소 사이에 보안 연결을 제공하는 기술입니다. 시작되는 곳과 멈추는 곳 사이에 안전한 링크 또는 파이프를 제공합니다.
이것이 수행하지 않는 작업은 실제로 파이프를 통과하는 데이터를 보호하거나 파이프의 양쪽 끝이 실제로 어디에 있는지 실제로 아는 것입니다. 당신이 확신할 수 있는 것은 파이프의 한쪽 끝에 들어간 것은 무엇이든 다른 쪽 끝이 있는 곳으로 나올 것이라는 것입니다.
하지만 확실히 데이터는 완벽하게 보호되나요? 예, 데이터가 파이프에 있는 동안에는 보호됩니다. 이제, 불행하게도 그것이 우리가 해야 할 일입니다. 파이프의 각 끝이 어디에 있는지 확실히 알고, 각 끝이 매우 안전하며, 각 끝에 누가 있는지 확실히 안다고 가정하면 괜찮습니다. 그 중 하나라도 사실이 아니라면 문제가 있는 것입니다.
내 데이터는 서버와 나 사이에서 SSL로 보호됩니다. 그런데 왜 걱정해야 합니까? 글쎄요, 서버 측의 어느 누구도 귀하의 신원이 무엇인지 모르기 때문에 데이터가 누구에게서 왔는지 실제로 알지 못합니다. 그들은 파이프를 통해 도착하는 데이터가 옳고 그 반대가 아닌 데이터로부터 귀하의 신원을 추정할 수 있다고 가정합니다. 불행하게도 귀하의 링크를 자신의 사이트를 통해 전환시키는 해커 공격이 있으며, 여기서 그들은 어느 쪽도 현명하지 못한 채 다른 개체인 것처럼 가장할 수 있습니다.
(이를 웹사이트 스푸핑을 이용한 중간자 공격이라고 합니다.)
귀하의 정보가 서버에 도달하면 해당 정보는 더 이상 보호되지 않으며 누구나 해당 정보에 접근할 수 있습니다. 적어도 해커가 웹사이트를 먼저 표적으로 삼는다는 사실을 보면 알 수 있습니다. 웹사이트에서 많은 양의 이름, 주소, 신용카드 번호 등을 찾을 수 있기 때문입니다. (실제로 SSL은 컴퓨터에 너무 많은 부하를 가하기 때문에 SSL 암호화만 수행하는 다른 컴퓨터가 있으므로 데이터가 웹 서버에 도달하기도 전에 잠재적으로 노출될 수 있지만 그게 요점이 아닙니다.)
그래서 문제가 있습니다. SSL은 강력한 보호를 제공하지만 실제로는 데이터에 대한 보호가 아니라 링크에만 제공됩니다. 파이프를 보호해주는 콘돔이었다고 할 수 있겠네요.