본문 바로가기

Home > 열린마당 > 공개SW 소식

공개SW 소식

오픈SSL 취약점 해결된줄 알았더니 여전히...

OSS 게시글 작성 시각 2014-06-17 21:01:35 게시글 조회수 3243

2014년 06월 17일 (화)


ⓒ 아이티투데이, 성상훈 기자 HNSH@ittoday.co.kr



지난 4월 발견된 오픈SSL 취약점 '하트블리드'가 해결되지 않은 대형 사이트가 여전히 존재하는 것으로 나타났다.


17일 주요 외신은 미국 DB보안 솔루션 기업 퀄리스(Qualys)의 조사 자료를 인용해 이같이 보도했다.


오픈소스의 SSL / TLS 구현 라이브러리인 오픈SSL은 이달 초까지만해도 대부분 취약점이 해결된 것으로 보고됐다. 그러나 그동안 알려진 것보다 훨씬 치명적 취약점(CVE-2014-0224)이 존재하고 있다는 것이 퀄리스측 분석이다.


CVE-2014-0224취약점 악용시 클라이언트와 서버 사이의 트래픽이 해독될 수 있으며 마음먹은대로 변조될 가능성도 있다.


조사 결과에 따르면 대부분 웹 브라우저는 오픈SSL에 의존하지 않으며 브라우저 사용자의 대부분이 이 취약점의 영향을 받는다. 안드로이드 역시 마찬가지며 특히 오픈VPN과 같은 VPN 제품은 표적이 되기 쉽다.


CVE-2014-0224는 오픈SSL의 모든 버전에 존재한다. 클라이언트 측과 서버측이 모두 취약한 오픈SSL을 사용하고 서버 버전 1.0.1 이상이라면 이를 악용하기 수월해진다.



SSL 펄스 프로젝트 조사 결과. 조사 대상 15만개 웹사이트중 절반이 여전히 오픈SSL취약점이 남아있는 것으로 파악됐다 <자료=퀄리스>


퀄리스는 이 문제에 대응하기 위해 HTTPS 지원 주요 사이트의 SSL 구현 강도를 모니터링 하는 'SSL 펄스 프로젝트'를 실시해 약 15만개의 사이트를 검사했다.


조사한 사이트들은 서버의 약 49%가 취약점이 존재하고 있었으며 이 중 14%는 CVE-2014-0224 취약점 악용이 가능한 1.0.1 시스템을 사용하고 있는 것으로 조사됐다.


퀄리스측은 "오픈SSL 0.9.x~1.0.0 를 사용하는 서버에 대해서도 현재 이 취약점이 악용 가능한지 여부는 조사중이지만 가능성은 충분히 있는 만큼 속히 업그레이드 해야 한다"고 권고했다.




※ 본 내용은 (주)아이티투데이 (http://www.ittoday.co.kr)의 저작권 동의에 의해 공유되고 있습니다.
Copyright ⓒ 아이티투데이. 무단전재 및 재배포 금지


[원문출처 : http://www.ittoday.co.kr/news/articleView.html?idxno=48570]

맨 위로
맨 위로