인터넷 커뮤니케이션을 보다 안전하게 하기 위해 널리 쓰이는 OpenSSL에서, 서버의 64KB 단위의 메모리가 공격자에게 그대로 노출될 수 있는 심각한 버그가 발견되었다. TLS의 Heartbeat 패킷을 이용한 이 취약점을 통해 공격자는 서버의 메모리를 암호화되지 않은 상태로 읽을 수 있으며, 여기에는 암호화 키, 인증서, 사용자 계정 및 패스워드 등이 포함될 수 있다. 해당 버그는 2012년 3월 릴리즈된 1.0.1부터 가장 최근의 1.0.1f까지 존재해 왔으며, 수정된 1.0.1g 버전이 4월 7일에 릴리즈되었다. Ubuntu를 포함한 상당수의 리눅스/유닉스 계열의 OS가 이 버전의 OpenSSL을 포함하고 있으며, 패치 버전을 속속 내놓고 있다.
tN insight: OpenSSL은 Apache에 포함되어 있는 등 현재 가장 널리 쓰이는 구현으로, 현재 이 취약점에 영향을 받는 서버가 전체 인터넷 서버의 2/3에 달한다고 할 정도이다. 서버 관리자는 즉시 최신 OS 혹은 OpenSSL 버전으로 업데이트하고 모든 시스템과 서비스를 재시작시켜야 하며, 이미 노출되었을 가능성이 높으므로 모든 SSL 인증서를 재발급받아야 한다. 사용자들은 서버에 패치 적용이 완료된 후 패스워드를 바꾸는 것이 좋다.
관련기사: TechCrunch, Heartbleed
헉! 보안 플렛폼(통합/단일화?)도 다양해져야 안전할듯도 하고… 너무 다양해지면 중구난방으로 더 위험해지는듯도 하고. 어렵네요.
시장 지배적인 플랫폼에 보안 결함이 있을 경우 상당히 치명적인 결과를 초래하게 되죠. 해커 입장에서도 한번만 뚫으면 똑같은 방법으로 수많은 서버/기기에 침입할 수 있으니 열심히 뚫으려 노력할 거구요. 사실 보안의 목표는 100% 안전한 시스템 구축이 아닙니다. 100% 안전한 시스템이란 있을 수가 없고, 다만 침입자를 최대한 번거롭고 불편하게 해서, 그 시간에 보안이 허술한 다른 시스템을 공격하도록 하는 것이 목적입니다.