Home > 전체기사

TLS 구축케 해 주는 오픈SSL 프로젝트서 고위험군 취약점 2개 나와

  |  입력 : 2021-03-26 13:10
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
암호화 통신을 가능케 해 주는 TLS 프로토콜을 실제 구축할 때, 개발자들은 오픈SSL이라는 오픈소스를 주로 사용한다. 그런데 이 오픈SSL에서 고위험군 취약점이 2개 발견됐고, 패치됐다. 오픈SSL 1.1.1k로 업그레이드 해야 안전하다.

[보안뉴스 문가용 기자] 오픈소스 프로젝트 중 하나이며 인지도도 매우 높은 암호화 소프트웨어 라이브러리인 오픈SSL(OpenSSL)에서 보안 업데이트를 발표했다. 두 개의 취약점이 발견됐기 때문이다. 두 취약점 모두 고위험군으로 분류됐다.

[이미지 = utoimage]


오픈SSL은 인터넷 서버들과 클라이언트들(혹은 최종 사용자들) 사이에 오고 가는 데이터를 안전하게 지켜주는 프로토콜인 TLS를 안전하게 구현해 주는 소프트웨어 라이브러리로, TLS를 활용하는 서비스나 앱을 개발하려는 사람들은 오픈SSL을 도입함으로써 간편하게 암호화 기술을 활용할 수 있게 된다. 시간과 노력 모두가 절약되기 때문에 오픈SSL은 널리 사용되고 있다.

취약점 중 첫 번째 것은 CVE-2021-3449로, 일종의 서비스 마비를 야기하는 취약점이라고 한다. 즉, 공격자가 성공적으로 익스플로잇 할 경우 디도스 공격을 실시할 수 있는 것이다. 현존하는 거의 모든 오픈SSL 서버들을 마비시킬 수 있다고 보안 전문가 필리포 발소다(Filippo Valsorda)는 트위터를 통해 경고했다. 최초 핸드셰이크가 진행되는 동안 악의적으로 만들어진 재협상(renegotiation) 요청을 전송함으로써 익스플로잇 할 수 있다.

통신 회사 노키아(Nokia)의 전문가인 페테르 카스틀레(Peter Kastle)와 사무엘 사팔스키(Samuel Sapalski)가 픽스를 만들어 오픈SSL 측에 제공한 것으로 알려져 있다. 이들은 이 취약점을 널 포인터 역참조(NULL pointer dereference)라고 분류하고 있다.

두 번째 취약점은 CVE-2021-3450으로, TLS 인증서를 탐지 및 검사해서 올바른 CA가 서명하지 않은 인증서들을 거부할 수 있게 해 주는 기능을 마비시킨다고 한다. 즉 인증서를 우회할 수 있게 해 주는 취약점이라는 것이다. 코드 매개변수 내 X509_V_FLAG_X509_STRICT라는 플래그에서 발생한 취약점이다.

이 취약점을 처음 찾아낸 건 보안 업체 아카마이(Akamai)의 시앙 딩(Xiang Ding)이며, 오픈SSL에 보고한 건 같은 회사의 벤자민 카둑(Benjamin Kaduk)이라고 한다. 픽스를 개발한 것은 레드햇(Red Hat)의 토마스 므라즈(Thomas Mraz)다.

오픈SSL 측은 1.1.1h 및 상위 버전들 모두 취약하다고 경고했다. 오픈SSL 1.0.2 버전은 안전하다. 패치된 버전은 1.1.1k로 오픈SSL을 사용하고 있는 모든 조직들은 이 버전으로의 업데이트가 권고되고 있다. 리눅스 배포판인 데비안(Debian)과 우분투(Ubuntu)는 이미 이 두 개의 취약점을 해결하기 위한 패치를 배포하고 있는 상황이다.

현재까지 오픈SSL 생태계에서 터진 가장 큰 사건은 2014년 하트블리드(Heartbleed) 취약점 사태다. 하트블리드 취약점에 대한 패치는 당시 발표됐으나, 2021년 현재까지도 적잖은 수가 아직 이 패치를 적용하지 않고 있다.

오픈SSL의 보안 권고문은 여기(https://www.openssl.org/news/secadv/20210325.txt)서 열람이 가능하다.

3줄 요약
1. TLS 구축 위해 가장 많이 사용되는 소프트웨어 라이브러리 오픈SSL에서 취약점 발견됨.
2. 하나는 디도스 공격 가능케 하고, 하나는 인증서 우회 가능케 함.
3. 고위험군으로 분류된 만큼, 최대한 빠른 시일 안에 패치 적용해야 안전.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)