OPENSSL에서 발견된 하트블리드(HEARTBLEED) 뭘까??

지난 2014년 4월 8일 오픈소스 형대로 제공되는 암호화 프로토콜인 오픈SSL에서 발견된 '하트블리드(HEARTBLEED)' 취약점에 대한 경고가 쏟아졌습니다.

이는 서버와 네트워크 장비는 물론 클라우드 서비스와 모바일 플랫폼까지 하트블리드의 직접적인 영향권에 들어섰가는 지적도 있습니다.

오픈 SSL은 인터넷을 통해 데이터를 송수신 할 때 원본 내용을 암호화할 수 있게 해주는 프로토콜인데요... 송수신 시 암호화하지 않을 경우 중요한 내용이 해커에 의해 중간에서 도난 당할 수 있다는 것입니다.

이번에 이슈화된 하트블리드는 오픈SSL에서 클라이언트(PC)와 웹 서버 간 암호화 통신이 제대로 이뤄지는지 확인하기 위해 사용되는 '하트비트(HEARTBEAT)'에서 발견된 취약점입니다.

하트비트라는 것은 사용자가 쓰는 웹브라우저에서 서버에 또는 서버에서 서버로 뻔한 질문을 던진 뒤 뻔한 질문을 던진 뒤 뻔한 답을 받는 방법으로 서로 통신이 유지되고 있는지를 확인하는 것입니다.

웹브라우저에서 웹서버에 한번에 최대한 요청할 수 있는 용량은 64킬로바이트(KB)인데요. 이를 알고 있는 공격자 입장에서는 하트비트 프로토콜을 악용해 서버에 저장된 정보들 중 최대 64KB의 내용을 반복해서 요청하다보면 서버에 저장된 정보들 중 서버를 확인하기 위한 만능키 역할을 하는 비밀키도 노출될 수 있는 것입니다.

인터넷 리서치 회사인 넷크래프트에 따르면 하트블리드 취약점에 영향을 받을 수 있는 웹사이트는 50만개에 달하는 것으로 추정된다고 하네요.

영향을 받는 SSL 버전이 설치가 되어 있다면 어서 빨리 업데이트를 받으시기 바랍니다.