오픈SSL에 심각한 보안 결함 발견…”판올림하세요”

가 +
가 -

네트워크에서 데이터를 주고받을 때 널리 쓰이는 암호화 기술인 오픈 시큐어소켓레이어(Open SSL)에 심각한 버그(공식 이름 CVE-2014-0160)가 있다고 보안업체 코드노미콘이 4월7일(현지시각) 발표했다. 코드노미콘은 이 버그를 ‘심장출혈(Heartbleed)’ 버그라고 불렀다. 오픈SSL에 덧붙은 하트비트 확장기능(RFC6520)에서 생긴 버그이기 때문이다. 전세계 웹사이트 가운데 절반 정도가 SSL을 쓰는 것으로 알려졌다.

Codenomicon_Heartbleed_03

 

이번에 알려진 버그를 악용하면 해커가 오픈SSL 기술을 적용한 서버 메모리에서 64KB짜리 데이터 뭉치를 빼돌릴 수 있다. 이를 몇 번씩 반복하면 사용자가 서버에 보낸 암호키를 손에 넣을 수도 있다. 일단 암호키를 손에 넣으면, 사용자와 서버가 주고받은 정보를 해독할 수 있다고 코드노미콘은 설명했다.

코드노미콘은 자체 서비스를 대상으로 이 버그를 실험했다. 결과는 놀라웠다. 어떤 증거도 남기지 않고 암호키를 손에 넣어 사용자 이름과 비밀번호, 주고받은 메시지, e메일, 중요한 비즈니스 문서 등을 빼돌릴 수 있었다. 테크크런치는 이 버그가 2년 넘게 방치됐을 뿐더러 데이터를 가로채도 흔적이 남지 않기 때문에 피해 규모를 파악하기도 힘들다고 지적했다.

코드노미콘은 이 버그를 해결한 오픈SSL 1.0.1g로 판올림을 하면 문제를 해결할 수 있다고 말했다. 유출됐을지 모르는 기존 암호키는 버리고 새로 암호키를 발급받으라고도 조언했다. 오픈SSL 1.0.1g는 지난 4월7일 공개됐다. 이 버그가 나타나는 오픈SSL은 2012년 3월14일 공개된 1.0.1 버전부터 1.0.1f 버전까지다.

Codenomicon_Heartbleed_01

▲출처 : 코드노믹스가 만든 하트블리드 웹사이트

판올림이 여의치 않다면 오픈SSL에서 일부 코드를 손보는 식으로 문제를 없앨 수도 있다. 코드노미콘은 이 버그가 공공연하게 알려졌기 때문에 문제를 더 방치하다가는 큰 보안 문제가 생길 수 있다고 경고했다.
Codenomicon_Heartbleed_02

▲출처 : 코드노믹스가 만든 하트블리드 웹사이트

네티즌의견(총 3개)