DROWN(Decrypting RSA with Obsolete and Weakened eNcryption) 공격이 최근 발표되었다. 이 취약점은 모든 HTTPS서버의 1/3가량을 위협할 것으로 판단된다. 이 취약점을 발견한 연구원들에 따르면 취약한 서버는 약 1,150만대에 달한다.
 
DROWN은 같은 개인 키를 사용하는 SSLv2서버로의 연결을 악용함으로써 TLS연결을 가로채어 해석할 수 있는 취약점이다. SSLv2는 이미 수십 년 전에 취약한 것으로 판명되어 TLS(Transport Layer Security)로 대체된 기술이다. 심지어 SSLv3마저도 2014년도에 POODLE공격에 취약한 것으로 판명되었다.

 
DROWN이나 POODLE공격은 서버가 여전히 오래된 프로토콜을 지원해주고 있다는 것을 악용하는 공격이다. 따라서 공격에 안전하기 위해서는 자신의 모든 서버에서 SSLv2를 비활성화 시켜야 한다.
 
대중적으로 많이 사용되기에 이 취약점의 주요대상이 OpenSSL이지만 마이크로소프트사의 IIS 7과 이전 버전, 2012년의 3.13버전 이전 버전을 사용하는 NSS(Network Security Service)등이 공격에 취약하다.
 
만약 OpenSSL을 사용하고 있다면, 1.02사용자는 1.0.2g로 1.0.1사용자는 1.0.1s로, 다른 버전을 사용한다면 1.0.2g나 1.0.1s로 업그레이드 해야 한다. IIS나 NSS사용자 역시 최신버전으로 업그레이드 해야만 한다.
 
참고로 아래 사이트에서 서버가 공격에 취약한지 확인해볼 수 있다.
-https://drownattack.com/#check
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 페소아(fesoa) 기자> mkgil@dailysecu.com