본문 바로가기

Home > 열린마당 > 공개SW 소식

공개SW 소식

하트블리드 오명 쓴 '오픈SSL', 새 버전 뜬다

OSS 게시글 작성 시각 2016-01-28 18:17:08

2016년 01월 27일 (수)

ⓒ 지디넷코리아, 손경호 기자 (sontech@zdnet.co.kr)



오픈소스로 공개돼 수많은 서버들이 사용하고 있는 암호화 통신 프로토콜인 '오픈SSL' 진영이 새로 발견된 취약점에 대한 문제를 해결하기 위해28일 오후 1시~5시 사이에 보안패치를 공개한다.


지난해 초 오픈SSL 1.0.1에서 발견된 '하트블리드'라는 취약점이 구글, 아마존 등 주요 클라우드 서비스 사업자들은 물론 시스코시스템즈, 주니퍼네트웍스 등이 제공하고 있는 일부 네트워크 장비에도 영향을 줄 수 있는 것으로 나타나면서 해당 기업들이 긴급히 대응에 나선 바 있다.


오픈SSL에서 발견된 취약점이 문제가 되는 가장 큰 이유 중 하나는 리눅스 서버 대부분이 이러한 통신방법을 쓸 수 있도록 지원하기 때문이다. 리눅스 배포판 중 하나인 데비안 리눅스 서버의 경우 98.7%가 오픈SSL을 적용하고 있는 만큼 빠른 대응이 필수다.


오픈SSL이 올해 들어 첫 보안업데이트를 내놓는다. 전 세계 수많은 리눅스 서버가 지원하는 이 암호화 통신 프로토콜은 지난해에만 31개 취약점에 대한 문제를 해결했다.

오픈SSL이 올해 들어 첫 보안업데이트를 내놓는다. 전 세계 수많은 리눅스 서버가 지원하는 이 암호화 통신 프로토콜은 지난해에만 31개 취약점에 대한 문제를 해결했다.


레드햇 제품 보안 담당 책임자이자 오픈SSL 진영 회원으로 활동하고 있는 마크 콕스는 "오픈SSL 프로젝트팀은 오픈SSL 1.0.2f, 1.0.1r을 배포할 예정이며, 이전 버전인 1.0.2에 영향을 줄 수 있는 위험성이 높은 것과 상대적으로 낮은 취약점에 대한 문제를 해결한 것"이라고 밝혔다.


그는 "위험성이 높은 취약점은 하트블리드와 같이 거의 모든 오픈SSL에 공통으로 적용될 만큼 심각한 수준은 아니지만 악용될 우려가 있어 패치가 나오는데로 영향을 받는 서버를 업데이트할 예정"이라고 덧붙였다.


레드햇과 함께 리눅스 배포판을 제공하고 있는 SUSE, 캐노니컬 등에서도 28일 패치가 나오는데로 개발자나 서버관리자들이 적용할 수 있도록 공개한다는 방침이다.


만약 오픈SSL 1.0.0이나 0.9.8과 같은 구버전을 사용해 왔던 개발자 혹은 서버 관리자들은 서둘러 새로운 버전으로 업데이트해야한다. 오픈SSL 진영은 이러한 구버전에 대해 올해부터는 보안업데이트를 제공하지 않겠다는 방침을 밝히기도 했다.


오픈SSL 진영은 지난해에만 31건에 달하는 취약점에 대해 대응한 바 있다.

>



※ 본 내용은 (주)메가뉴스(http://www.zdnet.co.kr)의 저작권 동의에 의해 공유되고 있습니다.
Copyright ⓒ 지디넷코리아. 무단전재 및 재배포 금지


[원문출처 : http://www.zdnet.co.kr/news/news_view.asp?artice_id=20160127160438]

맨 위로
맨 위로