보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

와이파이 암호기술 WPA2의 KRACK 취약점, 꼭 패치하세요

입력 : 2017-10-21 10:30
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
Wi-Fi 암호 기술인 WPA2 사용 운영체제에서 악용 가능한 취약점 발견

[보안뉴스 김경애 기자] Wi-Fi 암호 기술인 WPA2를 사용하는 운영체제에서 악용 가능한 취약점(KRACK : Key Reinstallation Attacks)이 발견되면서 보안 분야가 큰 이슈가 되고 있다. 이에 영향 받는 버전의 사용자는 개인정보 유출 및 통신 도청 등에 피해를 입을 수 있어 최신 버전으로 반드시 업데이트해야 한다.

[이미지=마이크로소프트 웹사이트 캡처 화면]


이번에 발견된 취약점은 △4-way-handshake에서 양방향 암호화키(PTK-TK)를 재설치하여 정보 유출이 가능한 취약점(CVE-2017-13077) △4-way-handshake에서 그룹 암호화키(GTK)를 재설치하여 정보 유출이 가능한 취약점(CVE-2017-13078) △4-way-handshake에서 무결성 그룹 암호화키(IGTK)를 재설치하여 정보 유출이 가능한 취약점(CVE-2017-13079)

△그룹 Key handshake에서 그룹 암호화키(GTK)를 재설치하여 정보 유출이 가능한 취약점(CVE-2017-13080) △그룹 Key handshake에서 무결성 그룹 암호화키(IGTK)를 재설치하여 정보 유출이 가능한 취약점(CVE-2017-13081) △재전송된 FT(Fast BSS Translation)를 연결 하는 동안 양방향 암호화키(PTK-TK)를 재설치해 정보 유출이 가능한 취약점(CVE-2017-13082)

△PeerKey handshake에서 STK(Short-Term Key)를 재설치하여 정보 유출이 가능한 취약점(CVE-2017-13084) △TDLS(Tunneled Direct-Link Setup) handshake에서 TDLS PeerKey(TPK)를 재설치하여 정보 유출이 가능한 취약점(CVE-2017-13086) △무선 네트워크 관리(WNM)가 슬립 모드 응답 프레임을 처리할 때 그룹 암호화키(GTK)를 재설치하여 정보 유출이 가능한 취약점(CVE-2017-13087) △무선 네트워크 관리(WNM)가 슬립 모드 응답 프레임을 처리할 때 무결성 그룹 암호화키(IGTK)를 재설치하여 정보 유출이 가능한 취약점(CVE-2017-13088)이다.

17일 기준으로 마이크로소프트(Microsoft)와 Ubuntuss, HostAP는 완료됐으며, 리눅스에서 사용하는 Wi-Fi 데몬(wps_supplicant, hostapd)도 업데이트가 완료됐다.

시스코(Cisco)와 주니퍼 네트웍스(Juniper)는 제품별로 패치 진행 중이며, Google Android, Apple(iOS, macOS), 레드햇(Redhat)은 패치될 예정이다.

기타 사항은 한국인터넷진흥원 인터넷침해대응센터(국번없이 118)에 문의하면 된다.

[참고사이트]
https://www.krackattacks.com/
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-13080
https://usn.ubuntu.com/usn/usn-3455-1/
https://w1.fi/security/2017-1/
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171016-wpa
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10827&actp=METADATA
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 3
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)