오픈SSL 암호화 무력화하는 ‘하트블리드’ 취약점 발견

실시간
뉴스

침해사고/위협동향

오픈SSL 암호화 무력화하는 ‘하트블리드’ 취약점 발견

디지털데일리 발행일 2014-04-09 14:50:06

이민형

URL복사

[디지털데일리 이민형기자] 웹브라우저와 서버간의 통신을 암호화해주는 프로토콜 ‘오픈SSL’에 대한 심각한 취약점이 발견됐다.

이 취약점은 ‘하트블리드(HeartBleed, (CVE-2014-0160)’로 명명됐으며, 공격자가 이 취약점을 악용할 경우 웹브라우저에서 암호화돼 전송된 개인정보, 금융정보는 물론 암호키도 탈취할 수 있는 것으로 알려졌다.

7일(현지시각) 오픈SSL 프로젝트는 공식 홈페이지(www.openssl.org)를 통해 오픈SSL의 RFC6520 TLS(전송계층보안)/DTLS(UDP기반 전송계층보안) 하트비트(Heartbeat) 확장 규격이 표준을 따르지 않은 사실이 드러났다고 발표했다.

하트비트 확장 규격에서 클라이언트(웹브라우저)는 데이터(아이디, 비밀번호 등, payload)와 함께 데이터의 길이(payload length)를 함께 전송하도록 돼 있다. 인증이 된 데이터는 메모리에 작성(덤프)돼 정상적인 서비스 이용이 가능해진다. 만약 데이터, 데이터의 길이가 전송된 시점과 다를 경우 웹서버는 이를 인증해줘서는 안된다.

하지만 오픈SSL이 이를 확인하지 않고 이 데이터를 메모리에 작성하는 버그가 이번에 발견된 것이다.

이승진 그레이해시 대표는 “웹서버가 데이터를 확인하지 않고 메모리에 작성하는 문제는 클라이언트가 서버에 있는 데이터를 비롯해 X.509 비밀키를 취득할 수 있는 중대한 취약점”이라며 “현재 주요 포털, 메신저 등은 패치된 오픈SSL을 모두 적용한 상태로 알고 있다”고 전했다.

이어 “오픈SSL을 사용하는 기업들은 반드시 취약점을 해결한 1.0.1g 버전이나 보안 패치를 적용해야 한다”고 덧붙였다.

한편 네이버, 다음, 카카오 등 주요 인터넷서비스 기업들은 해당 취약점에 대한 업데이트를 마친 상태다.

<이민형 기자>kiku@ddaily.co.kr