[디지털데일리 이민형기자] 웹브라우저와 서버간의 통신을 암호화해주는 프로토콜 ‘오픈SSL’에 대한 심각한 취약점이 발견됐다.
이 취약점은 ‘하트블리드(HeartBleed, (CVE-2014-0160)’로 명명됐으며, 공격자가 이 취약점을 악용할 경우 웹브라우저에서 암호화돼 전송된 개인정보, 금융정보는 물론 암호키도 탈취할 수 있는 것으로 알려졌다.
7일(현지시각) 오픈SSL 프로젝트는 공식 홈페이지(www.openssl.org)를 통해 오픈SSL의 RFC6520 TLS(전송계층보안)/DTLS(UDP기반 전송계층보안) 하트비트(Heartbeat) 확장 규격이 표준을 따르지 않은 사실이 드러났다고 발표했다.
하트비트 확장 규격에서 클라이언트(웹브라우저)는 데이터(아이디, 비밀번호 등, payload)와 함께 데이터의 길이(payload length)를 함께 전송하도록 돼 있다. 인증이 된 데이터는 메모리에 작성(덤프)돼 정상적인 서비스 이용이 가능해진다. 만약 데이터, 데이터의 길이가 전송된 시점과 다를 경우 웹서버는 이를 인증해줘서는 안된다.
하지만 오픈SSL이 이를 확인하지 않고 이 데이터를 메모리에 작성하는 버그가 이번에 발견된 것이다.
이승진 그레이해시 대표는 “웹서버가 데이터를 확인하지 않고 메모리에 작성하는 문제는 클라이언트가 서버에 있는 데이터를 비롯해 X.509 비밀키를 취득할 수 있는 중대한 취약점”이라며 “현재 주요 포털, 메신저 등은 패치된 오픈SSL을 모두 적용한 상태로 알고 있다”고 전했다.
이어 “오픈SSL을 사용하는 기업들은 반드시 취약점을 해결한 1.0.1g 버전이나 보안 패치를 적용해야 한다”고 덧붙였다.
한편 네이버, 다음, 카카오 등 주요 인터넷서비스 기업들은 해당 취약점에 대한 업데이트를 마친 상태다.
<이민형 기자>kiku@ddaily.co.kr
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
아이폰16 공시지원금, 전작과 비교해보니…"기본 모델은 낮아져"
2024-09-20 19:39:53오징어게임2, 새 게임은 '이것'?…티저 영상에 '힌트' 있다
2024-09-20 19:37:56[취재수첩] 지상파 콘텐츠 가치, 제대로 산정해야 할때
2024-09-20 16:08:31“現 미디어 산업 특성 반영한 새로운 방발기금 제도 논의 필요”
2024-09-20 14:15:21SKT 에이닷·LGU+ 익시오, KT는 "검토 중" [IT클로즈업]
2024-09-20 13:43:01MBC스포츠+·CGV, 프로야구 실시간 이원생중계 나서
2024-09-20 10:04:32잠재적 리스크도 기꺼이? 크래프톤, 배그 차기작 찾아 ‘직진’
2024-09-20 13:47:19SOOP이 청년 꿈 응원하는 방법은?…“다양한 콘텐츠와 지원 제도 활용”
2024-09-20 09:26:10