공개 WiFI에서 안전을 유지하기 위해 VPN이 필요한 이유 (HTTPS로는 충분하지 않음)

대부분의 웹 사이트는 이제 HTTPS를 사용하여 연결을 암호화하고 데이터에 보호 계층을 추가합니다. 그러나 공개 WiFi를 사용하는 경우 VPN없이 HTTPS를 사용하면 일부 데이터가 여전히 취약합니다..


편집 :이 블로그 게시물의 이전 버전은 TLS 1.2가 손상되었음을 암시 할 수 있습니다. 이 혼란을 일으킬 수있는 섹션을 제거했습니다.

HTTPS (Hypertext Transfer Protocol Secure)는 장치와 웹 사이트 간의 트래픽을 암호화하여 침입자가 공유하는 정보를 관찰하기 어렵게합니다. 또한 현재 사이트가 자신이 주장하는 사이트를 운영하는지 확인할 수있는 서명 또는 HTTPS 인증서를 제공합니다. HTTPS는 거의 모든 웹 사이트의 표준 보안 기능이되었습니다.

HTTPS가 사이트와의 연결을 암호화하는 경우 공용 WiFi가 안전하지 않습니까? 불행하게도 HTTPS는 DNS 쿼리와 같은 모든 데이터를 암호화하지 않습니다. VPN없이 공용 WiFi를 사용하는 경우 위험에 처하게됩니다.

HTTPS 작동 방식

HTTPS는 TLS (Transport Layer Security) 프로토콜을 사용하여 웹 브라우저와 웹 사이트 간의 연결을 보호합니다. 프로토콜은 단순히 컴퓨터가 서로 통신하는 방법을 제어하는 ​​일련의 규칙 및 지침입니다. TLS 프로토콜은 온라인 연결 보안의 중추입니다. 다른 사용자가 내용을 보지 않고도 로그인 자격 증명을 입력하거나 웹 사이트를 탐색하거나 온라인 뱅킹을 수행 할 수 있습니다..

TLS는 개인 키 암호화를 사용합니다. 키는 단순히 메시지 전송과 관련된 컴퓨터의 코드이며 개인 키는 공개되지 않은 키입니다. 연결의 무결성을 보장하기 위해 브라우저와 인터넷 서버는 공개 키를 공유하여 “핸드 셰이크”를 시작합니다. 핸드 셰이크가 설정되면 서버와 브라우저는 개인 키를 협상하여 연결을 암호화합니다. 각 연결은 고유 한 고유 한 개인 키를 생성하며 단일 바이트의 데이터가 전송되기 전에 연결이 암호화됩니다. 암호화가 설정되면 침입자는 탐지되지 않고 웹 브라우저와 웹 사이트 간의 통신을 모니터링하거나 수정할 수 없습니다.

TLS는 또한 웹 사이트의 자격 증명을 인증하고 데이터가 신뢰할 수있는 출처 (또는 하나라고 주장하는 사이트)에서 온 것임을 알리는 디지털 인증서를 제공합니다. 인증 기관에서 디지털 인증서를 발급합니다..

아래에 설명 하겠지만이 시스템에는 여전히 특정한 취약점이 있지만 안전한 것으로 간주됩니다. VPN없이 공용 WiFi를 사용하는 첫 번째 취약점은 TLS가 아직 DNS (Domain Name System) 쿼리를 보호하지 않는다는 사실입니다..

DNS 쿼리 란 무엇입니까?

도메인 이름 시스템은 인간 친화적 URL을 컴퓨터가 이해할 수있는 숫자 IP 주소로 변환합니다. 예를 들어, 당사 사이트를 방문하려면 URL www.protonvpn.com을 입력하지만 컴퓨터는 [185.70.40.231]로 표시됩니다. 이 번호를 찾기 위해 웹 브라우저는 일반적으로 인터넷 서비스 제공 업체에서 제공하는 DNS 확인 프로그램을 사용합니다. 이 리졸버를 방문하려는 사이트의 URL을 IP 주소로 번역하는 데 도움이되는 조수라고 생각하십시오..

DNS 요청이 암호화되지 않았습니다. 침입자는 DNS 쿼리와 이에 대한 DNS 확인 자의 응답을 관찰 할 수 있습니다. VPN없이 퍼블릭 WiFi를 사용하면 첫 번째 공격으로 이어질 수 있습니다. DNS 유출.

DNS 유출

누군가 DNS 쿼리를 모니터링하는 경우 사용자가 방문한 모든 사이트 목록과 장치의 IP 주소가 표시됩니다. 대부분의 공용 WiFi 핫스팟에 대한 보안이 취약한 경우 침입자가 네트워크에 액세스 한 다음 DNS 쿼리를 기록하는 것이 비교적 간단합니다. 공용 WiFi의 리졸버가 데이터 자체를 수집 할 수 있기 때문에 침입자가없는 경우에도 데이터가 여전히 위험에 노출 될 수 있습니다.

DNS 스푸핑

침입자는 DNS 유출을 통해 활동을 모니터링 할 수 있지만 공격자가 DNS 요청을 스푸핑하는 경우 자신을 제어하는 ​​악의적 인 사이트로 리디렉션 할 수 있습니다. DNS 중독이라고도하는이 공격은 공격자가 DNS 확인자인 것처럼 가장 할 때 발생합니다. 그런 다음 공격자는 대상 웹 사이트의 IP 주소를 스푸핑하여 자신이 제어하는 ​​사이트의 IP 주소로 바꿉니다. URL은 방문하려는 사이트와 동일하지만 공격자가 제어 할 수있는 사이트입니다. 최신 브라우저는 일반적으로 사용자에게 HTTPS가없는 사이트에 있음을 알리며 인증서가있는 HTTPS 사이트에는이 공격이 작동하지 않습니다..

그러나 DNS 스푸핑의 변형으로 공격자는 방문하려는 URL과 약간 다른 URL을 가진 사이트로 사용자를 보낼 수 있습니다. “protonvpn.com”대신“protomvpn.com”을 생각하십시오. 또한이 유형의 가짜 사이트는 HTTPS를 사용하고 유효한 인증서를 가질 수 있습니다. 브라우저가 주소 옆에 녹색 자물쇠를 표시하여 감지하기가 더 어려워졌습니다..

퓨니 코드

불행히도 최근 푸니 코드 공격으로 해커들은 동일한 URL과 유효한 HTTPS 인증서를 가진 두 개의 웹 사이트를 만드는 방법을 발견했습니다. Punycode는 웹 브라우저에서 다른 모든 유니 코드 문자 (예 : ß, 竹 또는 Ж)를 국제 도메인 이름 시스템이 지원하는 제한된 문자 세트 (A-Z, 0-9)로 변환하는 데 사용되는 인코딩 유형입니다. 예를 들어, 중국어 웹 사이트가 Punycode에서 “竹 .com”도메인을 사용한 경우 “xn--2uz.com”으로 표시됩니다..

침입자는 모든 문자가 단일 외국어 문자 세트에 있고 Punycode 도메인이 대상 도메인과 정확히 일치하는 한 프로세스를 반대로하고 Punycode 문자를 도메인으로 입력하면 브라우저가 대상 도메인의 일반 언어 위에 링크 된 해커 뉴스 기사에 사용 된 예에서 연구원은 “apple.com”으로 표시되는 도메인 “xn--80ak6aa92e.com”을 등록했습니다. 연구원은이 가짜 애플 사이트를 만들어 URL과 HTTPS 정보만으로 사이트를 구분하는 것이 얼마나 어려운지를 보여주었습니다..

연구원의 예에서 알 수 있듯이 Punycode 사이트는 HTTPS를 구현하고 유효한 인증서를받을 수 있으므로 사용자가 가짜 사이트에 있다는 것을 감지하기가 매우 어렵습니다. HTTPS 인증서의 실제 세부 사항 만 검토하면“xn--80ak6aa92e.com”과“apple.com”을 구별 할 수 있습니다.

다행히도 많은 브라우저가이 취약점을 이미 해결했으며 대부분 xn--80ak6aa92e.com으로 주소를 표시합니다.

공용 WiFi에서 VPN 사용

보안되지 않은 공용 WiFi 네트워크를 사용할 때 발생하는 취약점 중 일부일뿐입니다. HTTPS가 올바르게 적용되는 합법적 인 사이트를 방문하더라도 HTTPS로 보호되지 않는 사이트의 이미지 나 스크립트가 포함될 수 있습니다. 그런 다음 공격자는이 스크립트와 이미지를 사용하여 장치에 맬웨어를 전달할 수 있습니다..

신뢰할 수있는 VPN은 이러한 모든 취약점으로부터 사용자를 보호 할 수 있습니다. VPN은 트래픽을 암호화하고 VPN 서버를 통해 라우팅하므로 인터넷 서비스 제공 업체 (또는 악성 WiFi 핫스팟 소유자)가 온라인 활동을 모니터링 할 수 없습니다. 이 추가 암호화는 TLS 다운 그레이드 공격으로부터 연결을 보호합니다..  

ProtonVPN과 같은 철저한 VPN 서비스도 자체 DNS 서버를 실행하여 DNS 쿼리를 암호화하고 처리 할 수 ​​있습니다. ProtonVPN의 앱은 브라우저가 DNS 서버를 통해 DNS 쿼리를 해결하도록하여 DNS 유출로부터 사용자를 보호합니다. 연결이 끊어지면 DNS 쿼리도 보호합니다. 킬 스위치 기능은 VPN 서버와의 연결이 끊어지면 모든 네트워크 연결을 즉시 차단하여 데이터가 노출되지 않도록합니다..  

ProtonVPN의 무료 VPN 계획은 모든 사람이 이러한 공격으로부터 인터넷 연결을 보호 할 수있는 무료의 간단한 방법을 제공합니다. 무료 VPN 서비스를 사용하면 VPN없이 다시 공용 WiFi를 사용할 필요가 없습니다..

친애하는,
ProtonVPN 팀

트위터 | 페이스 북 | 레딧

무료 ProtonMail 암호화 이메일 계정을 얻으려면 다음을 방문하십시오. protonmail.com


Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me