Q> 웹서버에 HTTPS TLS/SSL Cipher Suite 취약점의 진위 여부에 대한 문의
우리회사는 올해 PCI-DSS 인증을 획득하고 그 요구사항에 따라 매년 모의해킹 진단을 받고 있습니다.
그런데, 모의해킹 진단결과에서 웹서버에 HTTPS TLS/SSL Cipher Suite 취약점이 있다고 리포트를 받았는데요
실제 대상 웹 리스너의 상태를 확인해보면 해당 취약점이 없는 것으로 나옵니다. 모의해킹 진단보고서의 대상은 맞고요
A>
말씀하신 내용에 따르면 외부망에서 진행하는 외부 모의해킹 진단 수행 결과로 짐작됩니다.
진단자는 외부망에 위치하여 대상 시스템을 외부자의 입장에서 진단을 수행하는 외부 모의해킹 진단, 또는 External Penetration Test 로 판단됩니다.
그러면, 이 진단자(외부망에 위치)와 대상 웹사이트의 사이에는 어떤 기술요소(시스템)이 존재할까요?
기업이나 조직의 인프라 구성에 따라 다르겠지만, 일반적으로 아래와 같은 기술요소들이 있을 것입니다.
[| 진단자 |] - (인터넷망) ——– 여기부터는조직내부- (라우터)-(스위치)-(웹방화벽)- [|대상 웹사이트 리스너|]
그렇다면, 진단자가 실질적으로 스캔과 같은 진단을 통해 리포팅한 그 HTTPS TLS/SSL Cipher Suite 취약점은 위의 구성에서 어떤 리스너의 취약점 일까요?
웹 방화벽(WAF)은 대부분은 in-line방식으로 웹서버 앞에 위치하는데요, 만약에 웹방화벽이 없는 구성이라면 위의 리포팅 내용이 맞겠죠
하지만, 웹방화벽이 있는 구성이라면 웹 방화벽의 웹리스너가 가지고 있는 취약점을 리포팅한 것으로 보는 것이 맞을 것 같습니다.
그렇다면, 고객님께서 하실일은 웹방화벽의 웹리스너에 그 취약점이 존재하는지 여부를 확인하는 것일 것입니다.
HTTPS TLS/SSL Cipher Suite 취약점을 확인하는 방법에는 몇 가지가 있는데요. 아무래도 TLS/SSL Cipher Suite에 대한 기본지식은 공부가 좀 필요하실 것 입니다.
- nmap의 ssl* 스크립트를 이용해서 스캔하는 방법
- openssl 명령으로 확인하는 방법
- 파이썬 프로그램인 sslyze.py로 확인하는 방법