[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ¿ÀÇÂSSL ÇÁ·ÎÁ§Æ®(OpenSSL Project) Ãø¿¡¼ ¿¹°íÇÑ Áß¿äÇÑ ÆÐÄ¡ ÀÏÀÚ°¡ ÀÏÁÖÀϵµ ³²Áö ¾Ê¾Ò´Ù. ¿ÀÇÂSSL 3.0 ¹× ÈÄ¼Ó ¹öÀüÀ» »ç¿ëÇÏ°í ÀÖ´Â ¸ðµç Á¶Á÷µéÀÌ Áö±ÝÀÌ¶óµµ ´Þ·Â¿¡ Ç¥½Ã¸¦ ÇØ¾ß ÇÒ ¸¸Å Áß¿äÇÑ ÀÏÁ¤ÀÌ´Ù. Åë½Å º¸È£¸¦ À§ÇØ »ç½Ç»ó °ÅÀÇ ¸ðµç °÷¿¡¼ »ç¿ëµÇ´Â °ÍÀÌ ÀÌ ¿ÀÇÂSSLÀ̱⠶§¹®ÀÌ´Ù.
[À̹ÌÁö = utoimage]
¿ÀÇÂSSL ÇÁ·ÎÁ§Æ®°¡ »õ·Î¿î ¹öÀü(3.0.7)ÀÌ ¹ßÇ¥µÇ´Â °Ç 11¿ù 1ÀÏÀÌ µÉ ¿¹Á¤ÀÌ´Ù. ÇöÀçÀÇ ¹öÀü¿¡¼ Ãë¾àÁ¡ÀÌ ¹ß°ßµÇ¾ú±â ¶§¹®ÀÌ´Ù. ¾ÆÁ÷ Ãë¾àÁ¡ÀÇ ³»¿ëÀÌ °ø°³µÇÁö´Â ¾Ê¾ÒÁö¸¸ ÀͽºÇ÷ÎÀÕÀÌ µÉ °æ¿ì ÀûÀÝÀº ¹®Á¦°¡ ¹ß»ýÇÒ ¼ö ÀÖÀ» °ÍÀ̶ó°í ÇÑ´Ù. ÀÌ Ãë¾àÁ¡Àº ¿ÀÇÂSSLÀÌ ¼¼»ó¿¡ µîÀåÇÑ ÀÌÈÄ µÎ ¹ø°·Î ¹ß°ßµÇ´Â ÃÊ°íÀ§Çèµµ Ãë¾àÁ¡À̶ó°í ÇÑ´Ù.
´ë´ÜÈ÷ Å« ¹®Á¦
OS Á¦Á¶»ç, ¼ÒÇÁÆ®¿þ¾î °³¹ß»ç, À̸ÞÀÏ Á¦°ø ¾÷ü µî ´Ù¾çÇÑ IT ºÐ¾ß ±â¾÷µéÀº ¿ÀÇÂSSLÀÌ Æ÷ÇÔµÈ Á¦Ç°°ú ¼ºñ½º¸¦ ½ÃÀå¿¡ ³»³õ°í Àִµ¥, 11¿ù 1ÀÏ ÀÌÈÄ ¿ÀÇÂSSL ÆÐÄ¡¸¦ Àû¿ëÇÑ ¾÷µ¥ÀÌÆ®¸¦ ¹ßÇ¥ÇÒ °ÍÀ¸·Î ¿¹»óµÈ´Ù. ±×·¸±â ¶§¹®¿¡ ¿ÀÇÂSSLÀ» Á÷Á¢ ´Ù·ç°í ÀÖÁö ¾ÊÀº ¼ÒºñÀÚ¶ó ÇÏ´õ¶óµµ 11¿ù 1ÀÏ ÀÌÈÄ¿¡´Â ÀÌ·± Àú·± ¾÷µ¥ÀÌÆ®¸¦ ÁøÇàÇØ¾ß ÇÒ °ÍÀ¸·Î º¸ÀδÙ. ÀÏ¹Ý ±â¾÷°ú Á¤ºÎ ±â°üµéÀÇ °æ¿ì Ãë¾àÇÑ ¹öÀüÀÇ ¿ÀÇÂSSLÀÌ Á¶Á÷ ³» ¾îµð¼±°¡ »ç¿ëµÉ ¼ö ÀÖÀ½À» °¨¾ÈÇÏ¿© 11¿ù 1ÀÏ ÀüÈÄ·Î ²Ä²ÄÇÑ °ËÅ並 ÇØ¾ß ÇÒ °ÍÀÌ´Ù.
¿ÀÇÂSSL¿¡¼ ÃÖÃÊ·Î ¹ß°ßµÈ ÃÊ°íÀ§Çèµµ Ãë¾àÁ¡Àº Áö±Ý±îÁöµµ À¯¸íÇÑ ÇÏÆ®ºí¸®µå(Heartbleed) Ãë¾àÁ¡ÀÌ´Ù. 11¿ù 1ÀÏ¿¡ °ø°³µÉ Ãë¾àÁ¡ÀÌ ÇÏÆ®ºí¸®µå¿Í °°Àº À§Ç輺°ú Æı޷ÂÀ» °®°í ÀÖ´Â °ÍÀ¸·Î ¹àÇôÁú °æ¿ì, °ÅÀÇ ¸ðµç »ê¾÷¿¡¼ ¿ÀÇÂSSL ÆÐÄ¡ Ã˱¸ÀÇ ¸ñ¼Ò¸®°¡ ³ô¾ÆÁú ¼ö ÀÖ´Ù.
ÇÏÆ®ºí¸®µå Ãë¾àÁ¡ÀÎ CVE-2014-0160ÀÇ °æ¿ì, µî·Ï¹øÈ£¿¡¼ ¾Ë ¼ö ÀÖµí 2014³â¿¡ °ø°³µÈ °ÍÀ¸·Î ÀͽºÇ÷ÎÀÕ¿¡ ¼º°øÇÑ °ø°ÝÀÚ´Â ÇÇÇØÀÚÀÇ ÀÎÅÍ³Ý Åë½Å ³»¿ëÀ» °¡·Îä°í µµÃ»ÇÒ ¼ö ÀÖ°Ô ÇØ ÁÖ¾ú´Ù. 2012³â 3¿ù¿¡ ³ª¿Â ¿ÀÇÂSSL¿¡¼ºÎÅÍ 2014³â ÇÏÆ®ºí¸®µå ¹ß°ß ´ç½ÃÀÇ ¹öÀü±îÁö ÀüºÎ ÀÌ Ãë¾àÁ¡ÀÇ ¿µÇâÀ» ¹Þ°í ÀÖ¾ú°í, ÀÌ¹Ì ÇÏÆ®ºí¸®µå°¡ ÀÖ´Â ¿ÀÇÂSSLÀÌ »ç¿ëµÈ »ç·Ê´Â ¼¿ ¼ö ¾øÀÌ ¸¹¾Ò´Ù. »ç½Ç»ó Àü ¼¼°èÀÇ ¸ðµç IT ±â¼ú°ú Ç÷§Æû¿¡ Æí¸¸ÇÏ°Ô ÆÛÁ® ÀÖ¾ú´Ù°í º¸´Â °Ô ¸Â´Ù. IT ¾÷°è Àüü¿Í Á¤ºÎ ±â°üµéÀº ÇÏÆ®ºí¸®µå°¡ ¹ß°ßµÈ Á÷ÈÄ ³ôÀº ¼öÀ§ÀÇ ºñ»ó °æº¸¸¦ ½¯ »õ ¾øÀÌ ¹ß·ÉÇß¾ú´Ù.
À̹ø¿¡ °ø°³µÉ ¿ÀÇÂSSL Ãë¾àÁ¡ÀÌ ÇÏÆ®ºí¸®µå¿Í °°Àº Æı޷ÂÀ» °¡Áö°Ô µÉÁö, »ê¾÷ Àü¹Ý¿¡¼ ÇÏÆ®ºí¸®µå ¶§¿Í ºñ½ÁÇÑ ¹ÝÀÀÀÌ ³ª¿ÃÁö´Â ¾ÆÁ÷ ¾Æ¹«µµ ¾Ë ¼ö ¾ø´Ù. ÇÏÁö¸¸ À̹ø Ãë¾àÁ¡ ¿ª½Ã ÃÊ°íÀ§Çèµµ¶ó°í ÇÏ°í, ±× ¶§ºÎÅÍ Áö±Ý±îÁö ¿ÀÇÂSSLÀº IT ±â¼ú Àü¹Ý¿¡ °ÉÃÄ ³Î¸® »ç¿ëµÇ°í ÀÖ´Ù´Â Á¡¿¡¼ Á¦2ÀÇ ÇÏÆ®ºí¸®µå »çÅ°¡ µÉ °ÍÀ̶ó°í ¿¹»óÇÏ´Â º¸¾È Àü¹®°¡µéÀÌ ÀûÁö ¾Ê´Ù.
º¸¾È ´ã´çÀÚµéÀº Ãæ°Ý¿¡ ´ëºñÇؾß
SANS ÀνºÆ¼Æ©Æ®(SANS Institute)ÀÇ Ã¥ÀÓÀÚÀÎ ¿äÇϳ׽º ¿ï¸®È÷(Johannes Ullrich)´Â ¡°À̹ø¿¡ °ø°³µÉ Ãë¾àÁ¡ÀÇ ¿µÇâ·ÂÀ̳ª Æı޷¿¡ ´ëÇÏ¿© ¹Ì¸® ¿¹»óÇϱâ´Â ¾î·ÆÁö¸¸ ¿ÀÇÂSSL ÇÁ·ÎÁ§Æ® ÃøÀÌ Ãë¾àÁ¡¿¡ ¡®ÃÊ°íÀ§Çèµµ¡¯¶ó´Â Æò°¡¸¦ ½±°Ô ÇÏ´Â ºÎ·ù°¡ ¾Æ´Ï¶ó´Â °Ç Àß ¾Ë°í ÀÖ´Ù¡±°í ¸»ÇÑ´Ù. ½ÇÁ¦·Î ¿ÀÇÂSSL ÇÁ·ÎÁ§Æ®´Â Ãë¾àÁ¡ÀÌ ÀͽºÇ÷ÎÀÕ µÇ¾úÀ» ¶§ Å« ÇÇÇظ¦ ¾È±æ °¡´É¼ºÀÌ ³ô°í °ø·« ³À̵µ°¡ ³·À¸¸ç, ¿ø°Ý °ø°ÝÀ» °¡´ÉÇÏ°Ô ÇÏ´Â Ãë¾àÁ¡µé¸¸ À§Ç豺À¸·Î ºÐ·ùÇÏ´Â °ÍÀ¸·Î ¾Ë·ÁÁ® ÀÖ´Ù.
ÇöÀç ³Î¸® »ç¿ëµÇ°í ÀÖ´Â ¿ÀÇÂSSLÀº 3.0 ¹öÀüÀ¸·Î, ¿ìºÐÅõ 22.04 LTS, ¸ÆOS ¸Å¹ö¸¯½º, ¸ÆOS º¥Åõ¶ó µî ¿©·¯ °³ÀÇ OS¿¡ µµÀԵǾî ÀÖ´Ù. ¿ï¸®È÷´Â ¸®´ª½º OS¿Í °ü·ÃµÈ ÆÐÄ¡°¡ ºü¸£°Ô ³ª¿Ã °ÍÀ¸·Î ¿¹»óÇÏ°í ÀÖ´Ù. ¡°ÇÏÁö¸¸ Áغñ´Â Áö±ÝºÎÅÍ ÇØ¾ß ÇÕ´Ï´Ù. Áö±Ý ¾î¶² ½Ã½ºÅÛ°ú ¼ÒÇÁÆ®¿þ¾î µî¿¡¼ ¿ÀÇÂSSL 3.0ÀÌ »ç¿ëµÇ°í ÀÖ´ÂÁö ¾Ë¾Æ³»´Â °ÍºÎÅÍ ÇØ¾ß ÇÏÁÒ. ¿ÀÇÂSSL ÇÁ·ÎÁ§Æ®°¡ 11¿ù 1ÀÏ ÆÐÄ¡ ¹ßÇ¥¸¦ ¹Ì¸® ¿¹°íÇÑ °Íµµ ¹Ì¸® ÁغñÇ϶ó´Â ¶æ¿¡¼ÀÔ´Ï´Ù. ÁÖ¸» µ¿¾È ¾î¶² °÷¿¡ ÆÐÄ¡°¡ ÇÊ¿äÇÑÁö ÆľÇÇØ µÎ´Â °Í°ú ±×·¸Áö ¾ÊÀº °Í¿¡´Â Å« Â÷ÀÌ°¡ ÀÖÀ» °Ì´Ï´Ù.¡±
º¸¾È ¾÷ü ¼Ò³ªÅ¸ÀÔ(Sonatype)ÀÇ CTOÀÎ ºê¶óÀ̾ð Æø½º(Brian Fox)µµ ¿©±â¿¡ µ¿ÀÇÇÑ´Ù. ¡°¿ÀÇÂSSLÀº ³Ê¹«³ª ³Î¸® »ç¿ëµÇ´Â ¿ä¼ÒÀÔ´Ï´Ù. ÆÐÄ¡°¡ ³ª¿Ã ¶§ °¡¼ Ãë¾àÇÑ ¹öÀüµéÀ» ãÀ¸¸é ´Ê½À´Ï´Ù. »ý°¢Áöµµ ¸øÇÑ Àåºñ¿Í ¼ÒÇÁÆ®¿þ¾î, ¼ºñ½º, Ç÷§Æû¿¡¼ ¿ÀÇÂSSLÀÌ Á¸ÀçÇÒ °¡´É¼ºÀÌ ³ô°Åµç¿ä. ±ÞÇÏ°Ô Ã£´Ù°¡´Â ´Ù ãÁö ¸øÇÒ °Ì´Ï´Ù. º¥´õ³ª ¼ºñ½º Á¦°ø ¾÷ü¿¡ ¹®ÀÇÇØ¾ß ÇÒ ºÎºÐµµ ºÐ¸íÈ÷ ÀÖÀ» °ÍÀÌ°í¿ä. À§Çèµµ°¡ ³ôÀº Ãë¾àÁ¡À», Áغñ ±â°£µµ ÃæºÐÈ÷ Áá´Âµ¥ µÚ´Ê°Ô ´ëÀÀÇÏ´Â ¹Ù¶÷¿¡ ±×´ë·Î ¹æÄ¡ÇÏ°Ô µÈ´Ù´Â °Ç º¸¾È ´ã´çÀڷμ ²Ï³ª ¹«Ã¥ÀÓÇÑ ÀÏÀÔ´Ï´Ù.¡±
±×·¯¸é¼ Æø½º´Â ¡°¾ÈÀüÇÑ ÀÎÅÍ³Ý Åë½ÅÀÌ ÇÊ¿äÇÑ ¸ðµç ¿ä¼Òµé¿¡´Â ¿ÀÇÂSSLÀÌ ÀÖÀ» °ÍÀ̶ó°í ¿¹»óÇÏ°í ã¾Æ¾ß ÇÑ´Ù¡±°í ±Í¶êÇÑ´Ù. ¼ÒÇÁÆ®¿þ¾î¸¸ÀÌ ¾Æ´Ï¶ó Çϵå¿þ¾îµéµµ Àß »ìÆì¾ß ÇÑ´Ù°í ¸»Çϱ⵵ Çß´Ù. ¡°ÀÏ´Ü Áö±ÝÀº Ãë¾àÇÑ ¹öÀüÀÇ ¿ÀÇÂSSLÀ» ÀüºÎ ã¾Æ¾ß ÇÕ´Ï´Ù. ±×·¯°í ³ª¼´Â ÇØ´ç ¼ÒÇÁÆ®¿þ¾î³ª ¼ºñ½º, Àåºñ Á¦°ø ¾÷üµé¿¡ ÆÐÄ¡ ÀÏÁ¤°ú ¹æ¹ýÀ» ¹®ÀÇÇØ¾ß ÇÏ°ÚÁö¿ä. ÇÑ ¸¶µð·Î 11¿ù 1ÀÏ Àü±îÁö °¡½Ã¼º È®º¸¸¦ ºÎÁö·±ÇØ ÇØ¾ß ÇÑ´Ù´Â ¶æÀÔ´Ï´Ù.¡±
3ÁÙ ¿ä¾à
1. Çö´ë IT »ýÅ°迡¼ Æí¸¸È÷ ¹ß°ßµÇ´Â ¿ÀÇÂSSL ¿ä¼Ò¿¡¼ ÃÊ°íÀ§Çèµµ Ãë¾àÁ¡ ³ª¿È.
2. ¿ÀÇÂSSL ÇÁ·ÎÁ§Æ® Ãøµµ À̸¦ ÀÎÁö, 11¿ù 1ÀÏ¿¡ ÆÐÄ¡ ³¾ ¿¹Á¤.
3. ±× µ¿¾È Ãë¾àÇÑ ¿ÀÇÂSSL ±¸¼º ¿ä¼ÒµéÀ» ¸ðÁ¶¸® ã¾Æ³»´Â °Ô ÇÒ ÀÏ.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>