디지털라이프

디지털 기기, 게임, IT 정책

arrow_downward최신기사

CVE-2014-0160

하트블리드 버그, 어찌 대처하오리까

지난 주 보안회사 코드노믹스가 오픈SSL의 '심장출혈(하트블리드)’ 버그를 공개하자 IT업계가 발칵 뒤집혔다. 심장출혈 버그가 뭔가 심장출혈 버그(CVE-2014-0160)는 한마디로 서버와 사용자가 주고받은 데이터를 밖으로 흘려보내는 보안 구멍이다. 오픈SSL에 '심장박동(하트비트)’이라는 확장기능을 덧붙이며 생긴 문제다. 심장박동 기능은 서버가 명령에 대답할 수 있는지 주기적으로 확인하는 역할을 한다. 심장출혈 버그를 악용하면 서버의 작동 여부를 확인하면서 서버 메모리에 저장 중인 데이터를 64KB까지 빼돌릴 수 있다. 이해를 돕기 위해 아래 그림을 인용한다. ▲'심장출혈' 버그 작동 원리 (원본 출처 : XKCD CC-NC, 원작자에게 허락 받고 번역해 올립니다. 여기를 누르면 원본 그림으로 이동합니다) 왜 위험한가 심장출혈 버그가 위험한 이유는 무엇일까. 우선 영향을 미치는 범위가 꽤 넓다. SSL은 인터넷에서 주고받는 데이터를...

OpenSSL

오픈SSL에 심각한 보안 결함 발견…"판올림하세요"

네트워크에서 데이터를 주고받을 때 널리 쓰이는 암호화 기술인 오픈 시큐어소켓레이어(Open SSL)에 심각한 버그(공식 이름 CVE-2014-0160)가 있다고 보안업체 코드노미콘이 4월7일(현지시각) 발표했다. 코드노미콘은 이 버그를 ‘심장출혈(Heartbleed)’ 버그라고 불렀다. 오픈SSL에 덧붙은 하트비트 확장기능(RFC6520)에서 생긴 버그이기 때문이다. 전세계 웹사이트 가운데 절반 정도가 SSL을 쓰는 것으로 알려졌다.   이번에 알려진 버그를 악용하면 해커가 오픈SSL 기술을 적용한 서버 메모리에서 64KB짜리 데이터 뭉치를 빼돌릴 수 있다. 이를 몇 번씩 반복하면 사용자가 서버에 보낸 암호키를 손에 넣을 수도 있다. 일단 암호키를 손에 넣으면, 사용자와 서버가 주고받은 정보를 해독할 수 있다고 코드노미콘은 설명했다. 코드노미콘은 자체 서비스를 대상으로 이 버그를 실험했다. 결과는 놀라웠다. 어떤 증거도 남기지 않고 암호키를 손에 넣어...