🚨 "연결이 안전하지 않습니다" 경고의 진실: Burp Suite와 HTTPS의 만남

안녕하세요, 웹 보안 및 침투 테스트에 관심 있는 여러분! 🕵️‍♀️ 웹 서핑을 하다가 주소창에 https://가 붙어있는데도 "연결이 안전하지 않습니다"라는 경고를 본 적 있으신가요? 특히 Burp Suite와 같은 프록시 도구를 사용해본 경험이 있다면 이 경고가 더욱 익숙할 겁니다.

 

오늘은 이 "연결이 안전하지 않습니다" 경고가 왜 뜨는 건지, 그리고 Burp Suite의 프록시 설정과 어떤 관계가 있는지 자세히 알아보겠습니다. 🔒

 

---

🌐 HTTPS와 안전한 연결의 약속

먼저, 웹에서 '안전한 연결'이란 무엇인지부터 짚고 넘어가죠. 여러분이 은행 사이트나 쇼핑몰 등 중요한 정보를 주고받는 웹사이트에 접속할 때, 주소창에 https://가 붙어있고 옆에 자물쇠(🔒) 아이콘이 있는 것을 볼 수 있습니다.

이 https://는 SSL/TLS (Secure Sockets Layer/Transport Layer Security)라는 프로토콜이 적용되었다는 뜻이며, 다음 세 가지를 보장해줍니다.

1. 암호화 (Encryption): 클라이언트(브라우저)와 서버 간의 모든 통신 내용을 암호화하여, 중간에 누가 가로채더라도 내용을 알 수 없게 합니다. 🛡️
2. 무결성 (Integrity): 데이터가 전송 중에 변조되지 않았음을 보장합니다.
3. 인증 (Authentication): 접속하려는 서버가 진짜 서버임을 증명합니다. 가짜 피싱 사이트에 접속하는 것을 막아줍니다.

이 세 가지를 보장하기 위해 서버는 '인증서(Certificate)'라는 것을 사용합니다. 이 인증서는 공신력 있는 인증 기관(CA, Certificate Authority)으로부터 발급받으며, "나는 naver.com이 맞고, 내 공개키는 이거야!" 라고 증명하는 일종의 신분증 같은 역할을 합니다. 📜

 

브라우저는 이 인증서의 유효성을 검사하여 서버의 신뢰성을 판단하고, 안전한 연결을 수립합니다.

---

😈 Burp Suite 프록시의 역할: 중간에서 가로채기

자, 이제 Burp Suite와 같은 웹 프록시 도구를 등장시켜 봅시다. Burp Suite는 클라이언트(브라우저)와 서버 사이에 끼어들어 두 주체 간의 모든 HTTP/HTTPS 통신을 가로채고, 검사하고, 수정할 수 있게 해주는 도구입니다. 침투 테스트 시 매우 유용하게 사용되죠. 🔗

 

일반적인 통신 흐름은 이렇습니다.

브라우저 <-------> naver.com 서버

 

하지만 Burp Suite 프록시를 사용하면 흐름이 이렇게 바뀝니다.

브라우저 <-------> Burp Suite 프록시 <-------> naver.com 서버

 

여기서 문제가 발생합니다.

 

브라우저는 naver.com에 직접 접속하는 것이 아니라, Burp Suite 프록시에 접속하는 것으로 인식합니다. 그리고 Burp Suite는 브라우저를 대신하여 naver.com 서버와 통신합니다.

---

🚨 "연결이 안전하지 않습니다" 경고가 뜨는 이유

이제 왜 "연결이 안전하지 않습니다" 경고가 뜨는지 구체적으로 설명해 드릴게요.

1. CA 불일치:
   • naver.com 서버는 공신력 있는 CA (예: Let's Encrypt, DigiCert 등)로부터 naver.com 도메인에 대한 유효한 SSL 인증서를 발급받았습니다.
   • 하지만 Burp Suite 프록시는 이 인증서를 그대로 브라우저에 전달하지 않습니다. 대신, 자체적으로 생성한 SSL 인증서를 브라우저에 제시합니다. 📄
   • 이 Burp Suite가 생성한 인증서는 Burp Suite 자체 CA에 의해 서명됩니다. 이 Burp Suite CA는 여러분의 운영체제나 브라우저에 "신뢰할 수 있는 CA"로 등록되어 있지 않습니다. ❌
   • 따라서 브라우저는 "이 인증서는 내가 모르는(신뢰할 수 없는) 기관이 발급했네?"라고 판단하고 경고를 띄웁니다.
2. 도메인 불일치 (Domain Mismatch):
   • Burp Suite가 브라우저에 제시하는 자체 생성 인증서에는 "이 인증서는 naver.com용이야"라고 적혀 있습니다. (Burp Suite가 naver.com에 대한 요청임을 알고 동적으로 생성하기 때문)
   • 하지만 브라우저는 이 인증서가 "신뢰할 수 없는 Burp Suite CA"에 의해 서명되었기 때문에, 이 인증서가 정말로 naver.com을 위한 것인지 확신할 수 없습니다. ❓
   • 엄밀히 말하면 도메인 자체는 일치하지만, 발급 기관의 신뢰성 문제로 인해 전체적인 인증서 체인 검증에 실패하여 도메인의 유효성도 보장받지 못하게 되는 것입니다. 브라우저는 마치 "이 신분증은 naver.com이라고 적혀있는데, 위조된 기관에서 발급된 것 같아! 믿을 수 없어!" 라고 말하는 것과 같습니다.

결과적으로 브라우저는 "신뢰할 수 없는 CA에서 발급했고, 따라서 도메인 일치 여부도 확실히 검증할 수 없으니 이 연결은 안전하지 않아!" 라고 사용자에게 경고하는 것입니다. ⚠️

---

👨‍🏫 해결책: Burp Suite CA 인증서 설치

그렇다면 Burp Suite를 사용하면서 이러한 경고 없이 HTTPS 트래픽을 가로채려면 어떻게 해야 할까요?

가장 일반적인 해결책은 Burp Suite의 자체 CA 인증서를 여러분의 운영체제나 브라우저의 신뢰할 수 있는 루트 인증 기관(Trusted Root Certification Authorities) 저장소에 수동으로 설치하는 것입니다. ➕

 

이렇게 하면 브라우저는 Burp Suite CA를 신뢰하게 되어, Burp Suite가 동적으로 생성하는 모든 인증서도 신뢰하게 됩니다. 그 결과, HTTPS 연결에 대한 "안전하지 않습니다" 경고 없이 트래픽을 가로채고 검사할 수 있게 됩니다.

 

참고: 이 과정은 보안 도구 사용 시에만 필요한 것이며, 일반 사용자가 함부로 알 수 없는 CA 인증서를 설치하는 것은 보안상 위험할 수 있으니 주의해야 합니다. 🛑

---

🎯 결론: 경고는 당신을 위한 것!

"연결이 안전하지 않습니다"라는 경고는 단순히 귀찮은 메시지가 아니라, 당신의 보안을 지키기 위한 브라우저의 중요한 경고음입니다. 🔔

 

특히 Burp Suite와 같은 프록시 도구를 사용할 때는 이러한 경고가 의도적인 것이며, 프록시의 작동 방식 때문에 발생하는 것임을 이해하는 것이 중요합니다. 이 경고를 무시하고 진행할지, 아니면 CA 인증서를 설치하여 신뢰를 설정할지는 상황과 목적에 따라 달라지겠죠.

 

웹 보안에 대한 깊은 이해는 이러한 작은 경고의 의미를 파악하는 것에서부터 시작됩니다. 😉

 

태그: Burp Suite, 웹보안, HTTPS, SSL, TLS, 인증서, 프록시, CA, 인증기관, 도메인 불일치, 보안 경고, 침투테스트, 사이버보안