웹 보안 프로토콜인 HSTS (HTTP Strict Transport Security)가 IETF에서 Proposed Standard로 승인됨 ※ IETF (Internet Engineering Task Force)는 국제 인터넷 표준화 기구로, 인터넷 운영 프로토콜의 표준과 관련된 사항을 정의함 웹 보안 프로토콜 HSTS가 IETF에서 스티어링 그룹(steering group)으로부터 Proposed Standard로 승인 - HSTS는 HTTP 세션 하이재킹을 피하기 위해 제안된 프로토콜임
※ draft-ietf-websec-strict-transport-sec-14 - 보안성의 향상을 위한 방안이며, 웹 사이트 연결 시 항상 보안 연결 상태로 접근
※ 암호화되지 않은 웹 사이트로 인한 인터넷 하이재킹으로부터 인터넷 사용자들을 보호하기 위해 웹 보안 프로토콜이 제안됨
인터넷 드래프트 문서 상의 HSTS 정책 관련 설명으로는, 보안 연결로만 접근 가능함을 웹 사이트 자신이 선언할 수 있는 메커니즘을 정의하는 것이라고 되어 있음 - 주요 사항으로는 use cases, HSTS 정책효과, 위협 모델, 요구사항, 적합성과 관련된 요구사항, HSTS 메커니즘을 들 수 있음
정책을 따르는 웹 browser는, 웹 접속 사용자가 URL을 입력 시 “https” 입력을 기억하지 않아도 자동으로 ‘보안 안 되는 링크’에서 ‘보안되는 링크’로 전환되는 것임 이러한 HSTS를 이미 지원하는 사이트 및 서비스의 예로는 PayPal, Blogspot, Etsy, Chrome, Firefox 4, Opera 12 Web browsers가 있음 ※ HSTS를 아직 수용하지 않는 사이트 및 서비스 예로는 Microsoft의 Internet Explorer와 Apple의 Safari가 있음 인터넷 사용자들이 많이 이용하는 웹 browser에 대해, 이러한 보안 관련 표준화 연구가 진행되고 있음을 시사 [출처] 1. http://news.cnet.com/8301-1009_3-57524915-83/web-security-protocol-hsts-wins-proposed-standard-status 2. http://datatracker.ietf.org/doc/draft-ietf-websec-strict-transport-sec/?include_text=1 작성 : 침해예방단 연구개발팀 출처: https://www.krcert.or.kr/kor/data/TrendView.jsp?p_bulletin_writing_sequence=1411 |