Published on

1 Like
  • Be the first to comment

No Downloads
Total views
On SlideShare
From Embeds
Number of Embeds
Embeds 0
No embeds

No notes for slide


  1. 1. 2014년 4월 16일 수요일Á Pa ÐødrE cûÁô א0  nûà ˆ U Uº – µ “” êªÎ Š« ì±Ü %Èû l…ÁÈ# ')!$##"Â& @AeÏ ads) Èûl … ì±ÜÏ …8ƒ ¹ÆÌ ³‰µ §pæ  {ip œÅûóÁ X3…Ï ¥2É ö Ïs) ¶Uµ Èûl… þík ´€ÏûȘ x U⠖ º «Û™ ¡Ì 4è° ÈU ‘ ~µ ’j xÍÏ $‡s) …’i6 xÍ åÐ I R1ÁÏ Œ1¡ ò ˆ Rfˆ U´Ep xá ÚÐ ²”Ïs) 하트블리드는 인터넷에서 각종 정보를 암호화할 때 쓰는 오픈SSL에서 발견된 보안 취약점이다 국 내외 유명 웹 서비스는 주로 오픈SSL로 암호화 통 신을 한다 사용자가 웹 브라우저에서 입력한 로그 인 정보나 각종 개인정보 금융정보를 서버로 전송 할 때 오픈SSL를 이용해 암호화한다 하트블리드 는 암호화를 무력화하는 버그다 암호화된다고 믿 고 인터넷에서 주고받은 정보가 털렸을 가능성이 높다 15일 BBC 등에 따르면 해커가 캐나다 국세청과 영국 육아 정보사이트 멈스넷(Mumsnet)을 공격 한 것으로 드러났다 광범위한 영향이 실제 피해로 나타났다 늑대에 둘러싸인 양떼를 보호하던 초대 형 울타리가 풀린 셈이다 늑대는 힘들이지 않고 양 을 닥치는 대로 잡아먹을 수 있다 ◇하트블리드에 한국 뻥 뚫렸다 보안 전문가들은 하트블리드 취약점은 윈도XP 보안 문제와 비교가 되지 않는 비상사태라고 입을 모은다 하트블리드 취약점은 당장 문제가 발생하 는 시급한 구멍이기 때문이다 잠재적 위협인 윈도 XP보다 파장이 크다 개인정보와 금융정보 접속 정보가 해커에게 넘어가면 바로 금전적 피해로 나 타날 수 있기 때문이다 트렌드마이크로가 알렉사에 등록된 상위도메인 100만개를 분석한 결과 한국 도메인인 KR이 하 트블리드 취약점에 가장 많이 노출된 것으로 나타 났다 트렌드마이크로는 KR 도메인이 취약한 것은 오픈SSL 업데이트를 하지 않기 때문으로 분석했 다 오픈소스 SW를 가져다 사용하고 제대로 업데이 트하지 않는 우리 현실을 그대로 반영한다 유명 보안 포털 헬프넷시큐리티(HNS)가 내놓은 보고서에 따르면 한국은 하트블리드 취약점에 노 출된 주요 국가다 한국은 전 세계에서 취약점에 노 출된 오픈SSL 101b 버전을 가장 많이 쓰는 것으로 나타났다 전상훈 빛스캔 CTO는 현재 국내 기업 상당수 는 이 문제 심각성을 제대로 인식하지 못한다며 취약점에 노출된 곳 대부분이 서비스 운영 중인데 중단하고 패치해야 한다고 말했다 그는 이번 패 치는 보안 담당자가 몇 년에 한번 할까 말까 한 일 을 며칠 사이에 해야 하는 사안이라며 서비스나 장비의 연결된 구조와 의존 관계 등을 면밀히 고려 하지 않으면 또 다른 장애가 발생한다고 설명했 다 ◇웹과 연결된 모든 기기와 서비스에 구멍 하트블리드 취약점은 인터넷을 이용하는 모든 기기와 서비스에서 나타난다 구글과 야후 등 유명 웹 사이트는 물론이고 시스코와 주니퍼네트웍스 등이 내놓은 서버 라우터 스위치 비디오카메라 스마트폰 등 인터넷과 연결된 모든 기기에 영향을 끼친다 매일 정보가 안전하게 전송된다고 믿었던 모든 기기와 서비스가 해당된다 하트블리드 취약점은 2012년 나온 오픈SSL 10 1버전부터 101f버전에서 발견됐다 버그가 2년 넘 게 방치돼 피해 규모조차 파악하기 힘들다 지난 2 년간 누군가 당신의 스마트폰 통화와 이메일 내용 을 모두 도청했을 수 있다 최근 많이 쓰는 인터넷 전화도 예외는 아니다 시 스코가 판매한 인터넷 전화 4개 모델이 영향을 받는 것으로 알려졌다 기업 내 영상회의시스템도 마찬 가지다 해커가 신제품 개발 계획 등 중요 회의 내용 을 모두 빼돌렸을 가능성이 높다 보안을 위해 설치한 가상사설망(VPN)도 무용지 물이다 주니퍼네트웍스가 판매한 일부 VPN이 하 트블리드 취약점에 노출됐다 국내 정보보호 기업 이 판매한 VPN도 마찬가지다 그나마 글로벌 장비 기업은 신속하게 보안 패치를 배포했지만 국내 기 업은 취약점 파악에서 패치도 우왕좌왕이다 폐업 했거나 서비스가 중단된 VPN이나 보안 장비는 패 치가 사실상 어렵다 스마트폰에서 보낸 각종 기업 중요 문서도 해커 가 다 들여다봤다 구글 온라인 보안 블로그는 안드 로이드 411 젤리빈이 보안 취약점에 노출됐다고 밝혔다 삼성전자 갤럭시S3와 갤럭시노트2 구글 넥서스7 등 여러 기종이 해당한다 스마트폰은 제조사와 통신사가 함께 OS 업데이 트를 해야 해 상당한 시일이 걸린다 취약점이 알려 지고 보안 패치가 올라왔지만 안타깝게도 공격 도 구도 함께 등장했다 발 빠르게 손쓰지 않으면 모든 정보는 눈 깜짝할 사이 해커 손아귀에 들어간다 김인순기자 insoon@etnewscom 하트블리드에 뻥 뚫린 대한민국 .KR 취약점 세계 1위윈도XP 지원 종료보다 더 급한 불 오픈SSL 하트블리드 취약점이 세상에 알려지 며 보안 제품은 물론이고 모든 소프트웨어 개발에 시큐어 코딩을 의무화해야 한다는 목소리에 힘이 실린다 각종 인증을 획득한 보안 제품도 안전성을 담보할 수 없는 상황으로 내몰렸기 때문이다 시큐어 코딩이란 해커 공격을 유발할 가능성이 있는 잠재적인 보안 취약점을 사전에 제거해 안전 성이 높은 소프트웨어를 개발하는 기법이다 하트블리드 취약점이 알려지자 국내 정보보호 기업은 패치 개발과 배포에 우왕좌왕이다 보안 제품 상당수가 하트블리드에 노출된 오픈SSL 기 술이 쓰인 것으로 확인된 탓이다 문제는 이번에 취약점에 노출된 대부분 보안 제품이 정보보호시 스템 평가 인증을 거쳤다는 점이다 정보보호시스 템 평가인증은 민간 기업이 개발한 보안 제품에 구현된 보안 기능의 안전성과 신뢰성을 보증해 사 용자가 안심하고 제품을 사용하게 지원하는 제도 다 수개월이 넘는 평가기간을 거쳐 인증을 받아도 오픈SSL 하트블리드와 같은 대형 보안 구멍을 걸 러내지 못했다 결국 인증 받은 제품을 구입한 공 공기관도 보안솔루션에 있는 하트블리드 취약점 에 그대로 노출된다 내부 네트워크와 서비스를 보호하려고 도입한 보안 제품이 해커 공격의 목표 가 되는 셈이다 실제로 지난해 320 사이버테러 사건을 비롯해 최근 해커는 윈도나 안티 바이러스 업데이트 서버 등 보안 솔루션 취약점을 악용한 공격을 늘렸다 김승주 고려대 정보보호대학원 교수는 영세 한 국내 보안 기업은 오픈소스 소프트웨어를 그대 로 가져다 제품을 개발하는 경우가 많다며 CC 인증이나 암호모듈검증을 받아도 하트블리드와 같이 대형 취약점이 발견되면 속수무책이라고 설명했다 그는 지난 2012년 전자정부에만 도입 한 시큐어코딩 의무화를 전체 보안제품에서 각종 애플리케이션 소프트웨어 개발까지 모두 확산해 야 한다며 정보보호 제품 자체의 안전성을 높이 면 대형 공격 위협을 그나마 줄일 수 있다고 덧붙 였다 김인순기자 보안 제품 넘어 모든 SW개발에 시큐어 코딩 의무화 보안인증 획득한 제품까지 구멍 잠재적 해킹 위협 사전에 제거해 안전성 높은 SW개발 힘써야 대형 취약점 피하려면 한국인터넷진흥원(KISA)은 하트블리드 취약점과 관련해오픈SSL 업데이트를실시하거나하트비트기 능을 끄라고 경고했다 일반 사용자는 서비스 제공자 가 업데이트하는 패치를 신속히 적용해야 한다 서버 관리자는 오픈SSL 공식 홈페이지에서 제공 하는 101g 버전으로 업데이트를 진행해야 한다 공개용 웹서버 프로그램 아파치엔진엑스와 함께 사용되는 경우가 많아 이 경우 반드시 버전 확인이 필요하다 101~101f 102베타 102베타1을 쓰고 있다면 업데이트 대상이다 이미 SSL 비밀키 가 유출됐을 가능성이 있어 인증서 재발급도 검토 해야 한다 특정 오픈SSL 버전에 맞춰 시스템이 설계됐거나 서버 구조가 복잡해 업데이트가 어렵다면 취약점 핵심인 하트비트 기능을 꺼야 한다 부가 기능이기 때문에 적용하지 않는다고 해서 서비스 질이나 보 안성이 떨어지지 않는다 실제 101 이전 버전에는 이 기능이 없지만 동작에 이상이 없다 네트워크 보안 장비를 사용하고 있다면 하트블 리드 취약점을 이용한 공격 패턴을 추가해 침입탐 지시스템이 공격을 인지할 수 있도록 한다 일반 사용자는 관리자가 업데이트하는 패치를 바로 적용해야 한다 오픈SSL 라이브러리를 내장 한 소프트웨어가 사용자 PC에 깔려있을 수 있기 때 문이다 자주 방문하는 사이트 중 하트블리드 취약 점을 가진 곳이 있는지 확인해보는 것도 좋은 방법 이다 패치가 완료된 사이트라면 비밀번호를 바꿔 2차 피해를 예방한다 개발자가 오픈SSL을 바로 적용하지 않고 변형된 자체 라이브러리를 썼다면 수동으로 코드를 추가 해야 한다 오픈SSL을 참조하며 취약점이 있는 코 드까지 그대로 가져다 썼을 가능성이 높기 때문이 다 이 경우 메시지 길이를 확인하는 코드를 추가해 야 취약점을 해결할 수 있다 KISA는 향후 개발되 는 시스템에도 같은 코드를 넣도록 권고했다 취약점 여부를 자체적으로 확인하기 어려우면 K ISA 도움을 받아야 한다 점검을 요청하면 원격으 로 버전을 확인하고 취할 수 있는 조치를 알려준다 송준영기자 songjy@etnewscom 하트블리드 대응 방법은 업데이트 패치 신속히 적용하고 하트비트는 OFF 각종 인터넷 정보 암호화하는 오픈SSL서 발견된 보안 취약점 캐나다 국세청英 멈스넷 등 공격 광범위한 피해사례 드러나기 시작 오픈소스 SW 가져다 사용하고 제대로 업데이트 안해 위협 노출 피해 상황 파악하기 어렵고 국내기업 상당수 심각성 인식 못해 웹사이트서 서버라우터 등 인터넷 연결된 모든기기에 영향 재빨리 패치 배포한 글로벌기업처럼 서둘러 손쓰지 않으면 막대한 피해