OpenSSL 취약점 악용 공격 주의!

[보안뉴스 김지언] 한국인터넷진흥원(KISA)은 웹브라우저와 서버 간 통신 암호화 오픈소스 라이브러리 ‘OpenSSL’에서 심각한 보안 취약점이 발견돼 즉각적인 업데이트가 필요하다고 밝혔다.

취약점이 발견된 OpenSSL 버전은 △OpenSSL 1.0.1부터 1.0.1f △OpenSSL 1.0.2-beta △OpenSSL 1.0.2-beta1 버전이다.

이 취약점은 허트블리드(HeartBleed)로 명명되며, 이를 악용할 경우 웹서버로 전송된 개인정보, 비밀번호 등은 물론 웹서버의 암호키도 탈취될 수 있다.

만약 취약한 OpenSSL 버전 설치 서버가 공격당한다면 인증 정보 등이 저장된 64Kbyte 크기의 메모리 데이터가 제한 없이 탈취될 수 있다.

해당 취약점은 허트비트(Heartbeat)라는 SSL 확장 프로토콜을 구현하는 과정에서 발생했으며, 2012년 3월부터 OpenSSL 1.0.1 버전에 구현됐다.

이를 해결하기 위해서는 OpenSSL 공식홈페이지(www.openssl.org)에 접속해 지난 4월 7일에 배포된 OpenSSL 1.0.1g 버전으로 업데이트를 해야 한다.

OpenSSL은 주로 공개용 웹서버 프로그램인 아파치(Apache) 또는 엔진엑스(Nginx)와 함께 사용되는 경우가 많아 이를 사용하는 경우 특히 OpenSSL의 버전을 확인하고 조치해야 한다.

만약 업데이트가 어려운 경우 ‘-DOPENSSL_NO_HEARTBEATS’ 옵션 설정 후 재컴파일해 heartbeat를 비활성화해야 한다.

KISA 정현철 침해사고분석단장은 “이번 취약점을 악용하는 공격 코드가 공개돼 당분간 이와 관련된 공격이 증가할 것으로 우려된다”며, “OpenSSL을 사용하는 기업이나 기관은 중요 정보가 유출되는 것을 막기 위해 즉시 업데이트를 해야 한다”고 당부했다.

[김지언 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  2024년 3분기, 랜섬웨어 주요 이슈 4가...

• 2

  중국 해커들, 클라우드 서비스 노리려 새로운...

• 3

  위험 수위 넘어 급속도로 확산되고 있는 딥페...

• 4

  지난해 국내 정보보호 산업 총 매출액 16조...

• 5

  이탈리아의 사이버 범죄자들, 국가 데이터베이...

• 1

  위험 수위 넘어 급속도로 확산되고 있는 딥페...

• 2

  [Security China 2024 취재記...

• 3

  [테크칼럼] 놀랍고 혁신적인 보안 기술 ‘엔...

• 4

  해킹그룹 어웨이큰리코, ‘메시에이전트’라는 ...

• 5

  비교적 안전했던 맥OS 생태계에서도 랜섬웨어...

• 1

  윈도 다운그레이드를 통해 취약점을 부활시키는...

• 2

  [긴급] 삼성 일부 모바일 프로세서에서 취약...

• 3

  슬랙 광고 클릭하면 설치되는 멀버타이징 공격...

• 4

  OT 환경에서의 인증 취약점 악용 공격 급증...

• 5

  ‘건강검진 사칭’ 문자 주의보! 공식 문자에...