코드 시리즈로 보안 인프라를 정복한 코더 시리즈: 안전하지 않은 암호화

영리한 조직은 인프라의 개념을 코드로 받아들이고 있습니다. 애플리케이션 구축 외에도 보안 코드 작성에 상당한 기여를 할 수 있는 사람은 바로 여러분과 같은 개발자입니다.처음에는 여정이 멀게 느껴질 수도 있지만, 동료들 사이에서 두각을 나타내기 위한 여정은 그만한 가치가 있습니다.

최신 Coders Conquer Security 시리즈의 다음 장을 시작하기 전에 민감한 데이터 스토리지 취약점에 대한 게임화된 챌린지를 플레이해 보도록 초대합니다. 지금 플레이하고 쿠버네티스, 테라폼, 앤서블, 도커 또는 클라우드포메이션 중에서 선택하세요.

어땠어요?지식을 익혀야 한다면 다음을 읽어보세요.

요즘에는 암호, 개인 정보 및 재무 기록과 같은 중요한 데이터를 유휴 상태에서 해시하는 것이 모든 사이버 보안 방어의 초석입니다.여러 면에서 이는 최후의 방어선이자 최고의 보호 수단 중 하나로 작용합니다.그 이유는 공격자가 다른 방어 수단을 뚫고 중요한 파일을 얻을 수 있다고 해도 제대로 해시되고 저장되는 한 그다지 효과가 없기 때문입니다.

암호화된 파일은 네트워크의 나머지 부분과 별도의 키나 암호를 가질 수 있기 때문에 악의적인 내부자에 대한 견고한 보조 보호 역할도 합니다.이 경우 시스템 관리자나 해커와 같이 관리자의 자격 증명을 도용한 사람이 보호된 디렉터리를 찾아볼 수는 있지만 암호화 키가 다른 곳에 보관되어 있는 경우 찾은 암호화된 파일은 잠금 해제하지 못할 수 있습니다.

물론 모든 암호화 보호 방법은 아무리 강력한 컴퓨터도 깨뜨릴 수 없는 강력한 암호화 표준을 필요로 합니다.

안전하지 않은 암호화는 왜 위험한가요?

컴퓨터 기술에 있어서는 강력한 암호화 알고리즘을 만들 수 있는 능력과 이를 깨뜨릴 수 있는 능력이 오랫동안 경쟁의 대상이었습니다.1977년에 미국 연방 정부는 56비트 알고리즘인 데이터 암호화 표준 (DES) 을 개발했습니다. 이 알고리즘은 당시 컴퓨터의 상대적 성능을 고려할 때 안전하다고 여겨졌습니다.

하지만 컴퓨터는 진화했고 사람들은 컴퓨터를 공동으로 네트워크로 연결하여 성능을 더욱 높일 수 있는 방법을 찾았습니다.1999년에 일렉트로닉 프론티어 재단은 Distributed.net과 협력하여 단 22시간 만에 DES로 보호된 문서의 암호화를 공개적으로 해제했습니다.갑자기 DES 암호화로 보호되는 모든 문서가 더 이상 안전하지 않게 되었습니다.

믿거나 말거나, 일부 조직에서는 여전히 DES 알고리즘이나 이와 유사한 취약한 암호화 보호 기능을 사용하여 중요한 파일을 보호합니다.1999년에는 56비트 암호화를 해제하는 데 분산 네트워크가 필요했지만, 오늘날에는 충분히 강력한 독립형 컴퓨터라면 거의 모든 시간이 주어지면 이를 해낼 수 있습니다.또한 해커들은 그래픽 프로세서 유닛 (GPU) 뱅크로 만든 전용 크래킹 머신도 만들었습니다.이러한 GPU는 해당 작업에 매우 능숙하며, 구입 및 로컬 네트워크 비용이 상대적으로 저렴합니다.

오늘날 안전하지 않거나 취약한 암호화 알고리즘으로 중요한 파일을 보호하기로 선택한다면 대부분의 해커가 해당 파일을 분해하여 읽을 수 있게 하는 데는 그리 오래 걸리지 않을 것입니다.데이터 침해로 어려움을 겪고 있다면 파일이 제대로 보호되지 않으면 결국 파일이 손상될 것이라는 점을 감안해야 합니다.

예를 들어, 다음 쿠버네티스 코드 스니펫은 NGINX 인그레스 컨트롤러 레벨에서 정보를 보호하기 위해 약한 암호 알고리즘을 사용하고 있다.

API 버전: v1
종류: 컨피그맵
메타데이터:
이름: nginx-로드 밸런서-conf
네임스페이스: 큐브 시스템
데이터:
SSL 암호: DES-CBC3-SHA
SSL 프로토콜: “TLSv1.2"

이 예에서는 DES 암호 제품군을 사용하여 정보를 보호했습니다.하지만 공격자는 이를 쉽게 해독하고 민감한 정보에 액세스할 수 있습니다.

강력한 암호 알고리즘을 사용하는 것이 좋습니다.다음 쿠버네티스 예시에서는 NGINX 인그레스 컨트롤러 레벨에서 정보를 보호하기 위해 강력한 암호 제품군을 사용했습니다.

API 버전: v1
종류: 컨피그맵
메타데이터:
이름: nginx-로드 밸런서-conf
네임스페이스: 큐브 시스템
데이터:
SSL 암호: |
ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:
ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:
ECDHE-RSA-AES128-SHA256
SSL 프로토콜: “TLSv1.2"

이 예에서는 공격자가 민감한 정보에 잠재적으로 액세스하는 것을 방지하기 위해 강력한 암호 집합이 사용되었습니다.

강력한 암호화로 중요 정보 보호

오늘날에는 거의 깨지지 않는 강력한 암호화가 제공됩니다.2001년 미국 국립표준기술원 (NIST) 은 DES를 대체할 새로운 암호화 기술을 개발했습니다.고급 암호화 표준 (AES) 이라고 불리는 이 기술은 128비트, 192비트 또는 256비트의 세 가지 키 길이를 사용합니다.256비트 AES 암호화가 가장 안전하지만, 세 가지 모두 오늘날의 기술을 고려하면 거의 완벽하게 깨지지 않는 것으로 간주됩니다.슈퍼컴퓨터로 테스트한 결과, 대부분의 AES 보호 문서를 손상시키려면 수천 년이 걸린다는 사실이 밝혀졌습니다.

중요한 파일을 제대로 보호하려면 개발자가 먼저 해당 파일을 식별해야 합니다.네트워크상의 모든 것을 암호화할 필요는 없습니다. 암호화와 암호 해독 프로세스가 계속 진행되면서 작업 속도가 느려질 수 있기 때문입니다.하지만 인사 기록, 고객 데이터, 재무 정보와 같은 중요한 파일은 적절한 보호가 필요합니다.기본적으로 보안과 실행 가능한 시스템 구축 사이의 균형을 맞추는 작업입니다.

그리고 이 데이터는 AES 표준 중 하나에 따라 암호화되어야 하며, 악의적인 사람의 손에 들어가지 않아야 하는 매우 중요한 정보에 대해서는 256비트 암호화까지 적용해야 합니다.

고려해야 할 또 다른 사항은 암호화를 추가하는 것은 사이트에 더 많은 암호를 추가하는 것과 같다는 사실입니다.즉, 인증된 사용자는 암호화 키를 추적해야 합니다.이로 인해 워크플로우 병목 현상이 발생하지 않도록 하려면 해당 키를 추적하고 안전하게 보관할 수 있는 키 관리 플랫폼을 구현하는 것이 좋습니다.중앙 집중식 키 관리를 사용하지 않더라도 모든 키와 암호를 보호하여 권한이 없는 사용자가 가장 안전한 데이터 보관소에 들어가지 못하도록 하세요.

확인해 보세요 시큐어 코드 워리어 이 취약성에 대한 자세한 정보와 다른 보안 결함으로 인한 피해로부터 조직과 고객을 보호하는 방법을 알아보려면 블로그 페이지를 참조하십시오.또한 다음과 같은 방법도 있습니다. IaC 챌린지 데모 체험하기 Secure Code Warrior 교육 플랫폼 내에서 모든 사이버 보안 기술을 연마하고 최신 상태로 유지할 수 있습니다.