오픈SSL 하트브리드 취약점 '1단계 대처법'
OSS
게시글 작성 시각 2014-04-11 17:02:27
2014년 04월 11일 (금)
ⓒ CIO Korea, Brian Cheon | CIO KR
오픈SSL 취약점으로부터 조직을 보호하기 위해 조속한 조치가 필요하다고 전문가들이 입을 모으고 있다.
하트브리드(Heartbleed)라고 명명된 이번 취약점을 이용하면 웹 서버의 메모리를 해독할 수 있다. 이 메모리에는 서버와 브라우저 사이의 트래픽을 암호화하는데 사용되는 사설 키가 포함되곤 하기에 문제가 커진다.
오픈SSL에 2011년 도입된 이번 이번 취약점은 SSL(Secure Socket Layer)과 TLS(Transport Layer Security) 모든 버전에 영향을 끼친다. 오픈SSL은 오픈소스 아파치와 같은 웹 서버를 비롯해 각종 클라우드 서비스에 널리 이용되고 있다.
인터내셔널 인포메이션 시스템 시큐리티 써티피케이션 콘소시엄의 임원 디렉터 W.호드 팁튼은 "이미 위험에 노출됐다고 상정하고 대처해야만 한다"라고 CSO들에게 주문했다.
그렇다면 CSO들이 취해야 할 조치는 무엇일까? 우선 이번 취약점에 영향받은 시스템을 확인하고 분류해야 하며, 패치 작업을 신속히 진행해야 한다고 전문가들은 조언했다. 인터넷에 노출된 이들 시스템은 대단히 위험하다는 지적이다.
다행히 오픈SSL 프로젝트는 패치를 배포한 상태다. 지금 곧바로 이를 다운로드 받아 수정사항을 적용할 수 있다.
다음 단계는 서버가 이용하는 SSL 인증서를 교체하는 것이다. 서버가 위험에 노출됐는지 여부를 확인할 수 없기에 일단 교체하는 것이 바람직하다고 전문가들은 설명했다.
오픈 웹 애플리케이션 시큐리티 프로젝트(OWASP)의 셰이프 시큐리티 디렉터이자 의장 마이클 코츠는 "만약 공격자가 SSL 사설 키를 보유했다면, 과거와 미래의 커뮤니케이션을 모두 해독할 수 있다. 공공/사설 인증서를 교체해야 한다"라고 조언했다.
인증서를 교체한 후에는 기존 시스템을 사용하는 이들이 새로운 비밀번호를 사용하도록 해야 한다. 코츠는 "사용자들이 비밀번호를 바꾸도록 강제하는 것도 검토해야 한다"라고 말했다.
그는 이어 CSO들이 계정 탈취, 시스템 악용에 대비해 모니터링 수준을 높여야 한다면서 "현재 위기 상황에 처해 있음을 알아야 한다"라고 말했다.
하트브리드(Heartbleed)라고 명명된 이번 취약점을 이용하면 웹 서버의 메모리를 해독할 수 있다. 이 메모리에는 서버와 브라우저 사이의 트래픽을 암호화하는데 사용되는 사설 키가 포함되곤 하기에 문제가 커진다.
오픈SSL에 2011년 도입된 이번 이번 취약점은 SSL(Secure Socket Layer)과 TLS(Transport Layer Security) 모든 버전에 영향을 끼친다. 오픈SSL은 오픈소스 아파치와 같은 웹 서버를 비롯해 각종 클라우드 서비스에 널리 이용되고 있다.
인터내셔널 인포메이션 시스템 시큐리티 써티피케이션 콘소시엄의 임원 디렉터 W.호드 팁튼은 "이미 위험에 노출됐다고 상정하고 대처해야만 한다"라고 CSO들에게 주문했다.
그렇다면 CSO들이 취해야 할 조치는 무엇일까? 우선 이번 취약점에 영향받은 시스템을 확인하고 분류해야 하며, 패치 작업을 신속히 진행해야 한다고 전문가들은 조언했다. 인터넷에 노출된 이들 시스템은 대단히 위험하다는 지적이다.
다행히 오픈SSL 프로젝트는 패치를 배포한 상태다. 지금 곧바로 이를 다운로드 받아 수정사항을 적용할 수 있다.
다음 단계는 서버가 이용하는 SSL 인증서를 교체하는 것이다. 서버가 위험에 노출됐는지 여부를 확인할 수 없기에 일단 교체하는 것이 바람직하다고 전문가들은 설명했다.
오픈 웹 애플리케이션 시큐리티 프로젝트(OWASP)의 셰이프 시큐리티 디렉터이자 의장 마이클 코츠는 "만약 공격자가 SSL 사설 키를 보유했다면, 과거와 미래의 커뮤니케이션을 모두 해독할 수 있다. 공공/사설 인증서를 교체해야 한다"라고 조언했다.
인증서를 교체한 후에는 기존 시스템을 사용하는 이들이 새로운 비밀번호를 사용하도록 해야 한다. 코츠는 "사용자들이 비밀번호를 바꾸도록 강제하는 것도 검토해야 한다"라고 말했다.
그는 이어 CSO들이 계정 탈취, 시스템 악용에 대비해 모니터링 수준을 높여야 한다면서 "현재 위기 상황에 처해 있음을 알아야 한다"라고 말했다.
※ 본 내용은 한국IDG(주)(http://www.itworld.co.kr)의 저작권 동의에 의해 공유되고 있습니다.
Copyright ⓒITWORLD. 무단전재 및 재배포 금지
[원문출처 : http://www.ciokorea.com/news/20570]
번호 | 제목 | 조회수 | 작성 |
---|---|---|---|
공지 | [Open UP 활용가이드] 공개SW 활용 및 개발, 창업, 교육 "Open UP을 활용하세요" | 397044 | 2020-10-27 |
공지 | [Open UP 소개] 공개SW 개발·공유·활용 원스톱 지원 Open UP이 함께합니다 | 386865 | 2020-10-27 |
2916 | 오픈SSL 하트브리드 취약점 '1단계 대처법' | 3799 | 2014-04-11 |
2915 | 와이파이, '비번' 대신 스마트폰으로 인증 | 3923 | 2014-04-11 |
2914 | 오라클, '자바 SE 8 표준안' 구현한 자바 SE 제품군 출시 | 4098 | 2014-04-11 |
2913 | SKT 자본·데이터+그루터 기술력 빅데이터 시장 경쟁서 '타조' 날다 | 3797 | 2014-04-11 |
2912 | 구글 조립식 스마트폰 '아라'의 원형 | 4415 | 2014-04-11 |
2911 | 200달러짜리 가정용 첨단 3D프린터 등장 | 3351 | 2014-04-11 |
2910 | 예술작품을 디지털 데이터로, ‘코딩 다빈치’ | 3549 | 2014-04-11 |
2909 | “타이젠은 사통팔달할 최적 플랫폼이다” | 3451 | 2014-04-11 |
2908 | PC는 죽지 않는다 "태블릿 다양성 집중형" | 3538 | 2014-04-11 |
2907 | 파이어폭스OS 2.0 버전 디자인 공개 | 4043 | 2014-04-11 |
0개 댓글