A02:2021-Cryptographic Failures

소개

본 취약점은 암호화와 관련된 전반적인 취약점을 다루는 카테고리로 암호화 알고리즘 자체에 취약점이 있는 경우, 암호화된 데이터를 쉽게 해독할 수 있습니다. 또한, 충분히 강력하지 않은 키를 사용하거나 키를 안전하게 저장하지 않는 경우, 암호화된 데이터를 해독할 수 있습니다. 인증서를 관리할 때도 취약점이 발생할 수 있습니다. 잘못된 인증서를 사용하거나 인증서를 안전하게 관리하지 않으면, 암호화된 데이터의 안전성이 보장되지 않습니다. 그 외에도, 무작위 수 생성에 사용되는 알고리즘이 예측 가능한 경우, 암호화된 데이터를 해독할 수 있습니다. 또한, 충분한 길이와 복잡도를 갖춘 안전한 비밀번호를 사용하지 않거나, 공격자가 쉽게 추측할 수 있는 비밀번호를 사용하는 경우에도 데이터를 해독할 수 있습니다. 이러한 취약점을 방지하기 위해서는 안전한 암호화 알고리즘과 충분히 강력한 키를 사용하고, 키 관리 및 인증서 관리를 안전하게 수행하며, 안전한 무작위 수 생성 알고리즘과 안전한 비밀번호 관리 방법을 사용해야 합니다. 또한, 보안 업데이트 및 정기적인 감사를 수행하여 취약점을 최소화해야 합니다.

[그림1] Cryptographic Failures 취약점 예제

 

취약한 예

1. 암호화 알고리즘의 취약점: 암호화 알고리즘이나 키 길이 등에 취약점이 있을 경우 암호화된 데이터를 쉽게 해독할 수 있습니다.
2. 부적절한 키 관리: 키를 안전하게 저장하지 않거나, 충분히 강력하지 않은 키를 사용하는 경우에도 암호화된 데이터를 해독할 수 있습니다.
3. 부적절한 인증서 사용: 잘못된 인증서를 사용하면 암호화된 데이터의 안전성이 보장되지 않습니다.
4. 취약한 무작위 수 생성: 무작위 수 생성에 사용되는 알고리즘이 예측 가능한 경우, 암호화된 데이터를 해독할 수 있습니다.
5. 취약한 비밀번호 관리: 충분한 길이와 복잡도를 갖춘 안전한 비밀번호를 사용하지 않거나, 공격자가 쉽게 추측할 수 있는 비밀번호를 사용하는 경우에도 데이터를 해독할 수 있습니다.

참고자료

https://owasp.org/Top10