포스팅 내용

국내외 보안동향

[해외보안동향] 심각한 보안 위협, 하트블리드(Heartbleed)

Caution Advised as Heartbleed Poses Serious Security Threat

심각한 보안 위협, 하트블리드(Heartbleed)

 

 

출처: Hot for Security

 

OpenSSL 라이브러리에서 다양한 문제를 불러 일으킬 심각한 결함이 발견되었습니다. 이 피해의 범위를 정확히 파악할 수는 없겠지만, 사용자들은 각별한 주의를 기울일 필요가 있습니다.

 

하트블리드 버그는 이 버그를 알고 있던 사람이라면 누구에게든지, 특정 버전의 OpenSSL(SSL이나 TLS 암호화에 사용되는 라이브러리)을 사용하는 인터넷의 보안 웹 사이트에 대한 자유로운 접근 권한을 줄 수 있는 결함입니다. 이는 한 범죄자가 안전한 사이트에 들어가, 모두가 안전하다고 믿었던 민감한 정보를 훔치고 흔적 없이 빠져나올 수 있다는 것을 의미합니다.

 

SSL과 TLS 프로토콜은 이메일과 웹 어플리케이션, 몇몇의 VPN, 메시지 서비스 등의 보안을 위해 사용됩니다. 즉 이는 사용자가 잘 보호되고 있다고 믿는 암호화 키나 개인적인 메시지, 패스워드, 기밀 문서, 그리고 그 외 무엇이든지 공격자들에 의해 새어나갈 수 있다는 의미입니다.

 

현재까지 얼마나 많은 사람들과 웹 사이트들이 하트블리드에 의해 위험에 처해있는지 명확히 밝혀지지 않았습니다. 그러나 OpenSSL은 Apache와 Nginx 서버 소프트웨어의 디폴트 암호화 라이브러리이며, Netcraft의 2014년 4월 Web Server Survey에 의하면 이들은 전 세계 사이트들의 66%에서 사용되고 있는 것으로 보입니다.

 

이로 인해 즉각적인 위험이 발생하는 것은 아닙니다. 버그는 2011년 12월 이후에 발행된 버전에서 나타나며, OpenSSL은 "1.0.1f와 1.0.2-beta1을 포함한1.0.1과 1.0.2 베타 릴리즈가 취약하며, 해당하는 사용자들은 모두 OpenSSL 1.0.1g 버전으로 업그레이드 해야 한다" 고 발표했습니다.

 

Yahoo!, Flickr, Wunderlist와 다른 인기 서비스들은 그동안 이 취약점에 노출되어 왔으며, 해당 서비스 사용자들 역시 이미 영향을 받았을 가능성이 있습니다. 반면, 페이스북과 구글 등 다른 많은 서비스들은 하트블리드 버그로부터 보호되어 왔지만 여전히 그 위험성은 상당히 높은 수준으로 존재하고 있습니다.

 

그동안 사용자들은 안전하게 생각되는 사이트라도 이용 시 항상 주의를 기울여야 합니다. 늘 그렇듯이, 인터넷 보안은 사용자들이 생각하는 것 만큼 확실하지 않습니다.

 

Note: 언급된 모든 상품과 회사 이름은 오직 구별 목적으로 언급된 것이며, 각 재산권과 상표는 소유주들에게 있습니다.

 

HeartBleed(하트블리드)에 대한 자세한 설명 및 분석은 다음 링크에서 확인하실 수 있습니다.

OpenSSL 취약점 하트블리드(HeartBleed) 발견  http://blog.alyac.co.kr/76

 

 

출처:

Hot for Security

http://www.hotforsecurity.com/blog/caution-advised-as-heartbleed-poses-serious-security-threat-8365.html

* 해당 블로그 포스트는 공식적으로 인용 허가를 받았습니다.

티스토리 방명록 작성
name password homepage