한국 인터넷진흥원(KISA)은 웹 브라우저와 서버 간의 통신을 암호화 하는 오픈소스 라이브러리인 'OpenSSL'에 심각한 취약점이 발견되어 즉각적인 업데이트가 필요하다고 밝혔습니다.
취약점이 발견된 버전
OpenSSL 1.0.1 ~ 1.0.1f 및 OpenSSL 1.0.2-beta, 1.0.2-beta1
취약점이 없는 버전
OpenSSL 1.0.0 대 버전 및 OpenSSL 0.9.x 대 버전
이 취약점은 허트블리드(HeartBleed)로 명명되고 있으며, 해당 취약점을 악용할 경우 웹 서버로 전송된 개인정보, 비밀번호 등은 물론 웹 서버의 암호키도 탈취될 수 있다.
공격자는 취약점이 발견된 OpenSSL 버전이 설치된 서버에서 인증 정보 등이 저장된 64Kbyte 크기의 메모리 데이터를 외부에서 아무런 제한 없이 탈취할 수 있다. 해당 취약점은 허트비트(Heartbeat)라는 SSL 확장 프로토콜을 구현하는 과정에서 발생하였으며, 2012년 3월부터 OpenSSL 1.0.1 버전에 구현되었다.
해당 취약점을 해결하기 위해서는 OpenSSL 공식 홈페이지(www.openssl.org)에 접속하여 지난 4월 7일에 배포된 OpenSSL 1.0.1g 버전으로 업데이트를 해야 한다. OpenSSL은 주로 공개용 웹 서버 프로그램인 아파치(Apache) 또는 엔진엑스(Nginx)와 함께 사용되는 경우가 많아 이를 사용하는 경우 특히 OpenSSL의 버전을 확인하고 조치해야 한다.
※ 업데이트가 어려운 경우 ‘-DOPENSSL_NO_HEARTBEATS’ 옵션 설정 후 재 컴파일하여 heartbeat 비활성화
정현철 KISA 침해사고분석단장은 “이번 취약점을 악용하는 공격 코드가 공개되어 당분간 공격이 증가할 것으로 우려되며, OpenSSL을 사용하는 기업이나 기관은 중요 정보가 유출되는 것을 막기 위해 즉시 업데이트를 해야 한다”고 당부하였다.
요즘 개인정보 유출이 많이 되고 있는 상황에서 이런 취약점이 밝혀졌다는 건 우연은 아닌 것 같네요.
[원본자료] http://www.kisa.kr/notice/pressView.jsp?mode=view&p_No=8&b_No=8&d_No=1262
'『핫이슈』' 카테고리의 다른 글
버스커 버스커 장범준, 송지수와 12일 비공개 결혼! (0) | 2014.04.12 |
---|---|
[마녀사냥] JTBC 37회 임창정 출현 2014년 04월 11일 방송 (0) | 2014.04.12 |
[갑동이] 첫방송 제1화 "내가 진짜 갑동이다" <2014-04-11> (0) | 2014.04.11 |
서태지, 9월 단독 공연으로 컴백??? (0) | 2014.04.11 |
"나는 남자다" 패션의 메카는 '대전 지하 상가!!!' (0) | 2014.04.10 |