OpenSSL 치명적 취약점 예고

1. OpenSSL 이란

OpenSSL Project 사에서 개발한 네트워크를 통한 데이터 통신에 쓰이는 프로토콜인 TLS와 SSL의 오픈 소스 구현판입니다.

OpenSSL을 이용하여 키(인증서) 생성을 통한 SSL/TLS 통신에 활용하며 전 세계 거의 모든 통신 구현에 사용되고 있다고 보면 됩니다.

2. 하트블리드 취약점

2014년 4월에 OpenSSL 에서 하트블리드라 불리는 취약점이 발견되었습니다. Heartbeat라는 서버와 클라이언트 사이에서 연결이 안정적인지 확인할 때 사용하는 확장 규격입니다. 이 Heartbeat 과정에서 취약점을 이용하여 메모리에 있는 정보를 수집하여 데이터를 탈취할 수 있습니다.

이 취약점으로 개인키, 세션, 쿠키를 탈취하여 중간에서 데이터를 스니핑 할 수 앗다.

이 취약점은 현재 최신 버전 패치로 조치가 되었습니다.

• OpenSSL 1.0.1g
• OpenSSL 1.0.0대 버전
• OpenSSL 0.9.8대 버전

3. 제2의 하트블리드 예고

개발사 OpenSSL Project에서 openssl 최신 버전을 11월 1일에 업데이트할 예정입니다. 이유는 치명적인 취약점이 발견되었기 때문이라고 합니다. 취약점 내용은 아직 공개되지 않았습니다.
취약점이 너무 치명적이기 때문으로 예상됩니다.


서버 관리자, 보안 담당자분들은 지금 11월 1일을 달력에 표시하고 주시하고 있다고 합니다. 제2의 하트블리드, 제2의 log4j와 같은 영향으로 예상되니 관련 업계 분들은 관심 있게 기다려보셔야 할 것 같습니다.