2021-01-25 06:40 (월)
오픈SSL 보안취약점, 업데이트만으로는 안돼
상태바
오픈SSL 보안취약점, 업데이트만으로는 안돼
  • 호애진
  • 승인 2014.04.10 21:37
이 기사를 공유합니다

기존 인증서 폐기하고 새롭게 발급 받아야…취약점 악용 여부 알 수 없어
웹서버 취약한지 여부 확인할 수 있는 사이트 등장, 하지만 위험성 존재
오픈SSL(OpenSSL) 허트블리드(heartbleed) 취약점에 노출된 제품 및 사이트가 지속적으로 증가하고 있고, 보안팀들이 업데이트 작업을 하고 있는 가운데 공격자가 시스템의 취약점을 악용했는지 여부를 알기 어렵다는 새로운 문제가 대두되고 있다.
 
이 오픈SSL 취약점의 특징은 사이트 운영자가 인지하지 못한 상태에서 공격자가 해당 취약점을 악용할 수 있다는 것이다. 이 취약점은 오픈SSL 라이브러리가 TLS를 위해 허트블리드 확장모듈을 처리하는 과정에서 발생하고 여러 버전의 오픈SSL 소프트웨어에서 발견되고 있다.
 
오픈SSL 파운데이션(OpenSSL Foundation)이 버그를 수정한 버전을 발표했지만 대부분의 사이트들이 업데이트를 하는 데에는 어느 정도의 시간이 소요될 것으로 보인다. 현재 오픈SSL은 전세계 웹사이트의 약 2/3로 추정되는 수많은 사이트에서 사용되고 있다.
 
보안 전문가들은 오픈SSL 취약점을 악용한 공격이 명확하게 드러나지 않는 점을 들어 기존에 문제되던 보안 문제가 가중되고 있다고 지적했다.
 
한 보안 전문가는 “오랜 기간 사용돼 오던 서버 인증서와 관련된 개인키가 유출될 수 있다는 점에서 허트블리드 취약점은 무척 심각하다”며 “문제는 이 취약점이 악용됐는지를 알 수 있는 방법이 없다. 따라서 우리가 할 수 있는 대응책은 오픈SSL 모듈을 업데이트 하는 것 뿐만 아니라 기존 인증서를 폐기하고 새롭게 발급받는 것이다. 하지만 얼마나 많은 사람들이 인증서를 새롭게 발급 받을지는 의문”이라고 밝혔다.
 
오픈SSL 허트블리드 취약점은 해당 버그를 발견한 데 성공한 공격자가 취약한 컴퓨터에서 요청 당 최대 64KB의 메모리를 읽는 식으로 동작한다. 환경에 따라 공격자는 서버의 개인키 또는 기타 민감한 데이터를 획득하는 것이 가능하다.
 
안드로이드 4.1.0 및 4.1.1으로 운영되는 기기들 또한 취약한 것으로 알려졌다. 다만 안드로이드 4.2 버전부터는 허트비트 확장모듈이 사용되지 않고 있다.
 
한편, 이 취약점에 대한 개념검증(proof-of-concept) 코드가 Github에 올라와 있으며, http://filippo.io/Heartbleed/ 에서 자신이 운영하는 웹서버가 취약한지 여부를 확인할 수 있다. 그러나 확인하는 순간 해당 웹사이트 운영자에게 자신의 개인키를 내어줄 수 있어 이 또한 문제가 될 수 있다.

 
데일리시큐 호애진 기자 ajho@dailysecu.com