상세 컨텐츠
본문
Caution Advised as Heartbleed Poses Serious Security Threat
심각한 보안 위협, 하트블리드(Heartbleed)
출처: Hot for Security
OpenSSL 라이브러리에서 다양한 문제를 불러 일으킬 심각한 결함이 발견되었습니다. 이 피해의 범위를 정확히 파악할 수는 없겠지만, 사용자들은 각별한 주의를 기울일 필요가 있습니다.
하트블리드 버그는 이 버그를 알고 있던 사람이라면 누구에게든지, 특정 버전의 OpenSSL(SSL이나 TLS 암호화에 사용되는 라이브러리)을 사용하는 인터넷의 보안 웹 사이트에 대한 자유로운 접근 권한을 줄 수 있는 결함입니다. 이는 한 범죄자가 안전한 사이트에 들어가, 모두가 안전하다고 믿었던 민감한 정보를 훔치고 흔적 없이 빠져나올 수 있다는 것을 의미합니다.
SSL과 TLS 프로토콜은 이메일과 웹 어플리케이션, 몇몇의 VPN, 메시지 서비스 등의 보안을 위해 사용됩니다. 즉 이는 사용자가 잘 보호되고 있다고 믿는 암호화 키나 개인적인 메시지, 패스워드, 기밀 문서, 그리고 그 외 무엇이든지 공격자들에 의해 새어나갈 수 있다는 의미입니다.
현재까지 얼마나 많은 사람들과 웹 사이트들이 하트블리드에 의해 위험에 처해있는지 명확히 밝혀지지 않았습니다. 그러나 OpenSSL은 Apache와 Nginx 서버 소프트웨어의 디폴트 암호화 라이브러리이며, Netcraft의 2014년 4월 Web Server Survey에 의하면 이들은 전 세계 사이트들의 66%에서 사용되고 있는 것으로 보입니다.
이로 인해 즉각적인 위험이 발생하는 것은 아닙니다. 버그는 2011년 12월 이후에 발행된 버전에서 나타나며, OpenSSL은 "1.0.1f와 1.0.2-beta1을 포함한1.0.1과 1.0.2 베타 릴리즈가 취약하며, 해당하는 사용자들은 모두 OpenSSL 1.0.1g 버전으로 업그레이드 해야 한다" 고 발표했습니다.
Yahoo!, Flickr, Wunderlist와 다른 인기 서비스들은 그동안 이 취약점에 노출되어 왔으며, 해당 서비스 사용자들 역시 이미 영향을 받았을 가능성이 있습니다. 반면, 페이스북과 구글 등 다른 많은 서비스들은 하트블리드 버그로부터 보호되어 왔지만 여전히 그 위험성은 상당히 높은 수준으로 존재하고 있습니다.
그동안 사용자들은 안전하게 생각되는 사이트라도 이용 시 항상 주의를 기울여야 합니다. 늘 그렇듯이, 인터넷 보안은 사용자들이 생각하는 것 만큼 확실하지 않습니다.
Note: 언급된 모든 상품과 회사 이름은 오직 구별 목적으로 언급된 것이며, 각 재산권과 상표는 소유주들에게 있습니다.
※HeartBleed(하트블리드)에 대한 자세한 설명 및 분석은 다음 링크에서 확인하실 수 있습니다.
OpenSSL 취약점 하트블리드(HeartBleed) 발견 ▶ http://blog.alyac.co.kr/76
출처:
Hot for Security
* 해당 블로그 포스트는 공식적으로 인용 허가를 받았습니다.
'국내외 보안동향' 카테고리의 다른 글
| [해외보안동향] 탈옥한 아이폰에서 애플계정정보 탈취하는 unfold baby panda 악성코드 발견 (0) | 2014.04.30 |
|---|---|
| [해외보안동향] 마이크로소프트, 새로운 인터넷 익스플로러(IE) 제로데이 취약점 발견 (2) | 2014.04.28 |
| [해외보안동향] 짝퉁 스마트폰 통해 유포되는 안드로이드 악성코드 imogui 주의! (0) | 2014.04.04 |
| [해외보안동향] 안드로이드 OS 업데이트 프로세스에서 취약점 발견 (0) | 2014.03.27 |
| [해외보안동향] UC브라우저를 악의적으로 삭제하는 악성코드에 현상금 500만 위안(8억7천만원) (0) | 2014.03.10 |
댓글 영역