사이버 보안 연구원들에 의해 보안 셸(SSH) 암호화 네트워크 프로토콜의 중대한 취약점이 발견됐다.

'테라핀(Terrapin)'(CVE-2023-48795)이라고 불리는 이 취약점은 공격자가 다운그레이드해 보안 채널의 무결성을 손상시킬 수 있으며, 보안 통신을 위해 SSH에 의존하는 조직에 심각한 위협이 될 수 있다.

테라핀은 SSH 핸드셰이크 프로세스를 이용한다. 이 단계에서 중간자 공격자 위치에 있는 공격자는 클라이언트와 서버 간에 교환되는 메시지를 제거하기 위해 시퀀스 번호를 조작할 수 있다.

보안되지 않은 네트워크에서 보안 통신을 위해 널리 사용되는 방법인 SSH는 암호화 프로토콜을 사용해 연결을 인증하고 암호화한다. 핸드셰이크는 클라이언트와 서버가 암호화 기본 요소에 동의하고 키를 교환해 보안 채널을 설정하는 중요한 단계다. 테라핀은 이 과정을 방해해 공격자가 전체 연결의 보안을 약화시킬 수 있도록 한다.

테라핀의 실제 익스플로잇은 SSH 연결 보안을 다운그레이드하는 것이다. 중간에서 공격자로 활동하는 공격자가 TCP/IP 계층에서 트래픽을 가로채서 수정할 수 있는 경우, 트랜스크립트에서 확장자 협상 메시지(RFC8308)를 잘라낼 수 있다. 이러한 조작을 통해 보안 수준이 낮은 클라이언트 인증 알고리즘을 사용하고 OpenSSH 9.5의 키 입력 타이밍 공격에 대한 특정 대응 수단을 비활성화할 수 있다.

이 공격의 성공 여부는 ChaCha20-Poly1305 또는 Encrypt-then-MAC이 포함된 CBC와 같은 취약한 암호화 모드를 사용하는지에 따라 달라진다. 실제 시나리오에서 공격자는 테라핀을 악용해 중요한 데이터를 가로채거나 중요한 시스템을 제어할 수 있으며, 특히 대규모로 상호 연결된 네트워크가 있는 조직에서 더욱 주의해야 한다.

테라핀의 공격 범위는 OpenSSH, Paramiko, PuTTY, KiTTY, WinSCP, libssh, libssh2, AsyncSSH, FileZilla, Dropbear를 포함한 다양한 SSH 클라이언트 및 서버 사용자들이다. 이 취약점의 심각성을 인지한 관리자들은 잠재적 위험을 완화하기 위한 패치를 배포했다.

SSH를 사용하는 조직은 서버 보안을 위해 패치를 즉시 적용할 것을 권장한다. 그러나 패치가 적용된 서버에 접속하는 클라이언트가 여전히 취약한 상태라면 패치가 적용된 서버도 여전히 취약한 상태라는 점에 유의해야 한다. 따라서 조직은 전체 인프라에서 모든 취약한 부분을 파악하고 즉각적인 완화 조치를 적용해야 한다.

보안전문가들은 기업이 SSH 서버를 보호해야 한다고 강조한다. 특히 SSH 서버와 OpenSSH는 클라우드 기반 엔터프라이즈 애플리케이션 환경에서 매우 일반적으로 사용되기 때문에 기업은 서버 패치를 위한 적절한 조치를 취하는 것이 필수적이다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★