보안뉴스 창간 15주년을 축하합니다!!

Home > 전체기사

TLS 구축케 해 주는 오픈SSL 프로젝트서 고위험군 취약점 2개 나와

  |  입력 : 2021-03-26 13:10
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
암호화 통신을 가능케 해 주는 TLS 프로토콜을 실제 구축할 때, 개발자들은 오픈SSL이라는 오픈소스를 주로 사용한다. 그런데 이 오픈SSL에서 고위험군 취약점이 2개 발견됐고, 패치됐다. 오픈SSL 1.1.1k로 업그레이드 해야 안전하다.

[보안뉴스 문가용 기자] 오픈소스 프로젝트 중 하나이며 인지도도 매우 높은 암호화 소프트웨어 라이브러리인 오픈SSL(OpenSSL)에서 보안 업데이트를 발표했다. 두 개의 취약점이 발견됐기 때문이다. 두 취약점 모두 고위험군으로 분류됐다.

[이미지 = utoimage]


오픈SSL은 인터넷 서버들과 클라이언트들(혹은 최종 사용자들) 사이에 오고 가는 데이터를 안전하게 지켜주는 프로토콜인 TLS를 안전하게 구현해 주는 소프트웨어 라이브러리로, TLS를 활용하는 서비스나 앱을 개발하려는 사람들은 오픈SSL을 도입함으로써 간편하게 암호화 기술을 활용할 수 있게 된다. 시간과 노력 모두가 절약되기 때문에 오픈SSL은 널리 사용되고 있다.

취약점 중 첫 번째 것은 CVE-2021-3449로, 일종의 서비스 마비를 야기하는 취약점이라고 한다. 즉, 공격자가 성공적으로 익스플로잇 할 경우 디도스 공격을 실시할 수 있는 것이다. 현존하는 거의 모든 오픈SSL 서버들을 마비시킬 수 있다고 보안 전문가 필리포 발소다(Filippo Valsorda)는 트위터를 통해 경고했다. 최초 핸드셰이크가 진행되는 동안 악의적으로 만들어진 재협상(renegotiation) 요청을 전송함으로써 익스플로잇 할 수 있다.

통신 회사 노키아(Nokia)의 전문가인 페테르 카스틀레(Peter Kastle)와 사무엘 사팔스키(Samuel Sapalski)가 픽스를 만들어 오픈SSL 측에 제공한 것으로 알려져 있다. 이들은 이 취약점을 널 포인터 역참조(NULL pointer dereference)라고 분류하고 있다.

두 번째 취약점은 CVE-2021-3450으로, TLS 인증서를 탐지 및 검사해서 올바른 CA가 서명하지 않은 인증서들을 거부할 수 있게 해 주는 기능을 마비시킨다고 한다. 즉 인증서를 우회할 수 있게 해 주는 취약점이라는 것이다. 코드 매개변수 내 X509_V_FLAG_X509_STRICT라는 플래그에서 발생한 취약점이다.

이 취약점을 처음 찾아낸 건 보안 업체 아카마이(Akamai)의 시앙 딩(Xiang Ding)이며, 오픈SSL에 보고한 건 같은 회사의 벤자민 카둑(Benjamin Kaduk)이라고 한다. 픽스를 개발한 것은 레드햇(Red Hat)의 토마스 므라즈(Thomas Mraz)다.

오픈SSL 측은 1.1.1h 및 상위 버전들 모두 취약하다고 경고했다. 오픈SSL 1.0.2 버전은 안전하다. 패치된 버전은 1.1.1k로 오픈SSL을 사용하고 있는 모든 조직들은 이 버전으로의 업데이트가 권고되고 있다. 리눅스 배포판인 데비안(Debian)과 우분투(Ubuntu)는 이미 이 두 개의 취약점을 해결하기 위한 패치를 배포하고 있는 상황이다.

현재까지 오픈SSL 생태계에서 터진 가장 큰 사건은 2014년 하트블리드(Heartbleed) 취약점 사태다. 하트블리드 취약점에 대한 패치는 당시 발표됐으나, 2021년 현재까지도 적잖은 수가 아직 이 패치를 적용하지 않고 있다.

오픈SSL의 보안 권고문은 여기(https://www.openssl.org/news/secadv/20210325.txt)서 열람이 가능하다.

3줄 요약
1. TLS 구축 위해 가장 많이 사용되는 소프트웨어 라이브러리 오픈SSL에서 취약점 발견됨.
2. 하나는 디도스 공격 가능케 하고, 하나는 인증서 우회 가능케 함.
3. 고위험군으로 분류된 만큼, 최대한 빠른 시일 안에 패치 적용해야 안전.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 5일 밤 발생한 카카오톡 장애로 인해 일명 ‘넷플릭스법’에 대한 관심이 다시금 높아지고 있는데요. 통신서비스 품질 유지 의무를 부과하고 있는 기업 가운데 가장 안정적인 서비스를 제공하는 부가통신사업자는 어디라고 생각하시나요?
네이버
카카오
웨이브
넷플릭스
구글
페이스북