Home > 전체기사
오래된 SSL 3.0을 통한 푸들의 위협, 호재가 될 수도
  |  입력 : 2014-10-16 13:55
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
중간자 공격을 가능하게 해주나 공격 성립 조건이 까다로워

브라우저 제작사들 잇따라 SSL 3.0 제거하겠다는 계획 발표


[보안뉴스 문가용] 구글의 연구원들은 현지시각으로 14일 밤, SSL의 세 번째 버전에서 사용자의 암호화된 웹 및 기타 커뮤니케이션 세션에서 중간자 공격을 가능하게 하는 취약점을 발견했다고 발표했다(CVE-2014-3566). 이 공격은 푸들(POODLE, Padding Oracle on Downgraded Legacy Encryption)이라고 불리며 수정하기가 매우 어려운 것으로 드러났다. 또한 타깃형 공격에 최적화된 취약점이라는 사실도 밝혀졌다.

 

▲ 알고 보면 굉장히 동안인 푸들


사실 SSL 3.0이 TLS(Transport Layer Services) 1.0과 1.2로 대체된 지 상당한 시간이 흘렀다. 그럼에도 옛 시스템 및 애플리케이션과의 호환성 문제 때문에 SSL 3.0이 완전히 제거된 건 아니었다. 구글은 이번 기회에 SSL 3.0을 크롬 등 자사의 클라이언트 소프트웨어에서 다음 달까지 전부 지우겠다는 계획을 세우고 있다. 모질라 역시 파이어폭스의 SSL 3.0을 11월 25일까지는 전부 제거할 계획이다.


현재 98% 정도의 웹사이트가 SSL 3.0과 호환이 된다는 게 통설이다. 그러나 제2, 제3의 하트블리드 사태에 돌입한 것은 아니다. “하트블리드만큼 심각한 상황은 아닙니다. 그렇지만 걸릴 확률은 매우 높은 위협임은 분명합니다.” 화이트옵스(WhiteOps)의 수석연구원인 댄 카민스키(Dan Kaminsky)의 설명이다. 그리고 현재까지 SSL 3.0을 비활성화시키는 것 외에는 딱히 대처법이 나오지도 않은 상태이기도 하다. “SSL이 TLS로 대체된 지도 꽤 지났기 때문에 SSL을 아예 제거한다고 해서 큰 문제가 발생할 것 같지는 않습니다.”


퀄리스(Qualys)의 이반 리스틱(Ivan Ristic) 책임 엔지니어 역시 이번 ‘푸들 사태’가 하트블리드에 필적할 바는 절대 아니라는 데에 동의한다. “큰 문제라는 사실에는 변함이 없습니다. 하지만 이걸로 인터넷 환경에 종말이 올 거 같지는 않습니다. 일단은 이걸 활용한 공격 자체가 쉽지 않습니다. 굉장히 정교한 기술이 필요하죠. 그러니 특정 대상을 향한 확고한 의지가 있지 않은 이상 해커 입장에서도 이걸 악용한 공격을 하지는 않을 겁니다.”


SSL 프로토콜이라는 오래된 유산을 없앨 기회를 제공했다는 데에서 이번 푸들 사태를 긍정적으로 보는 시각도 존재한다. “오래된 프로토콜을 없앴다는 건 쉬운 일이 아닙니다. 브라우저 제작사들이 SSL 3.0을 제거하겠다는 계획을 발표하는 게 장기적으로 보면 더 좋은 결과를 낼 것 같습니다. 전화위복이 될 듯 합니다.” 리스틱의 의견이다.


한편 SSL 3.0을 악용한 공격이 일어나려면 클라이언트와 서버에서 모두 SSL 3.0 푸들을 지원해야 할 뿐만 아니라 사실상 강제적으로 SSL 3.0을 활성화할 수밖에 없는 환경이 되어야 한다는 전제조건이 필요하다. 그런 조건이 만족되었을 때 공격자는 사용자가 방문하는 웹 사이트 중 암호화가 되지 않은 곳에 심긴 코드 등을 통해 악성 자바스크립트를 피해자의 브라우저에 삽입할 수 있게 된다. 그렇게 브라우저가 한 번 감염되면 공격자는 중간자 공격을 실행할 수 있게 되는데 종국에는 피해자의 쿠키와 인증서를 손에 쥘 수 있게 되는 것이다.


“결국에는 클라이언트에 대한 공격입니다. 2011년에 있었던 BEAST 공격과 유사한 것이죠. 그렇기 때문에 푸들 취약점이 이번에 그렇게 명명된 것뿐이지 사실은 보안 업계에서는 알게 모르게 널리 퍼져왔던 것이나 다름이 없습니다. 다만 무시해왔던 것뿐이죠.”


또한 트러스트웨이브(Trustwave)의 위협 분석가인 칼 시글러(Karl Sigler)는 피해자가 온라인 상태이거나 물리적으로 가까운 곳에 있어서 공공 와이파이를 사용 중에 있어야만 공격이 가능하다고 이야기한다. 그렇지만 SSL에 기반한 VPN 클라이언트 소프트웨어는 푸들 공격을 받을 확률이 적다는 게 리스틱의 의견이다. “VPN 클라이언트에서는 이 취약점을 공략하는 게 불가능합니다. 최신판에서는 어차피 SSL 3.0이 호환되지 않을 거고요.”


푸들 소리로 살짝 시끄러워지는 감이 있지만 사실 해결책은 간단하다. SSL 3.0을 이제 영원히 추억속으로 보내버리면 된다. 윈도우 XP도 갔고, IE 6도 갔다. 이제 SSL 3.0의 차례일 뿐이다. SANS 인터넷스톰센터는 온라인 푸들 시험 사이트를 개설에 브라우저를 빠르게 확인해볼 수 있도록 했다.

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)