»ýÈ° °÷°÷¿¡ ¼û¾î µé¾îÀÖ´Â Ãë¾àÁ¡µéÀÌ ¿À·¡ »ì¾Æ³²´Â ºñ°á
º¸¾ÈÃë¾àÁ¡Àº ¹ÌÁöÀÇ ¿µ¿ª...·ÕÅ×ÀÏ Çö»ó ²ÙÁØÈ÷ ÁÙ¿©³ª°¡¾ß
[º¸¾È´º½º ¹®°¡¿ë] Áö³ 4¿ù Àü ¼¼°è¸¦ °Å¸Çß´ø OpenSSL¿¡¼ÀÇ ÇÏÆ®ºí¸®µå »ç°ÇÀº º¸¾ÈÀÇ Çö´ë»ç¿¡ ±æÀÌ ³²À» »ç°ÇÀ̾ú´Ù. ¼¼°è °÷°÷ÀÇ À¥¸¶½ºÅÍ, ¼¹ö °ü¸®ÀÚ, º¸¾ÈÀü¹®°¡µéÀº Çϳª µÑ ÈûÀ» ÇÕÃÄ ÆÐÄ¡¿Í ¾÷µ¥ÀÌÆ®¸¦ Çسª°¡¸ç ÀÌ ±«¹°À» °ø·«Çß´Ù.
DBº¸¾È ¼Ö·ç¼Ç Àü¹®¾÷üÀÎ Ä÷¸®½º(Qualys)ÀÇ ÀÌ¹Ý ¸®½ºÆ½(Ivan Ristic)Àº Áö³ µÎ ´Þ°£ Àü ¼¼°è¿¡¼ ÀÌ·ç¾îÁø ÀÌ ³ë·ÂÀÌ Å« ½ÇÈ¿¸¦ °ÅµÎ¾ú°í ÀÌÁ¦ Àü ¼¼°è À¥ ¼¹öÀÇ 1%¸¸ÀÌ ÀÌ Ãë¾àÁ¡¿¡ ³ëÃâµÇ¾î ÀÖ´Â »óÅ·Π¾Ë·ÁÁ³´Ù. ÇÏÆ®ºí¸®µå´Â Á¾¸»À» ´«¾Õ¿¡ µÐ °ÍÀ̳ª ´Ù¸§ÀÌ ¾ø´Ù. ¿À·£¸¸¿¡ ¹ß »¸°í Àß ¼ö ÀÖÀ» °ÍÀÌ´Ù.
°ú¿¬ ±×·²±î? ÀüÇô ±×·¸Áö ¾Ê´Ù. ÇÏÆ®ºí¸®µå´Â Á¾¸»ÀºÄ¿³ç ¿©ÀüÈ÷ Àü¼º±â¸¦ ´©¸®°í ÀÖ´Â ÁßÀÌ´Ù.
¼³¸íÀ» À̾±â Àü¿¡ ¡®·ÕÅ×ÀÏ¡¯À̶õ Çö»ó¿¡ ´ëÇØ ¾Ë¾Æº¸ÀÚ. Å©¸®½º ¾Ø´õ½¼(Chris Anderson)À̶õ ÀÛ°¡°¡ óÀ½ »ç¿ëÇÑ ¸»·Î ¼ÒºñÀÚ°¡ °³º°ÀûÀ¸·Î ±¸ÀÔÇÏ´Â ¹°°Ç ÇϳªÇϳª´Â Àüü °æÁ¦¿¡ Å« ¿µÇâÀ» ¹ÌÄ¡Áö ¸øÇÏÁö¸¸ ±×·± ¹°°ÇÀÌ ¸ðÀÌ°í ¸ðÀÌ¸é ½ÃÀå¿¡¼ Àα⸦ Å©°Ô ´©¸®°í ÀÖ´Â ¡®´ë¼¼ »óÇ°¡¯°úµµ ¸Â¸Ô´Â ¿µÇâ·ÂÀ» °¡Áö´Â Çö»óÀ» ¸»ÇÑ´Ù.
ÀÌ Çö»ó ¶§¹®¿¡ ÇÚµå¸ÞÀÌµå ¾×¼¼¼¸®¸¦ ÁÖ·ÂÀ¸·Î ÆÄ´Â ¿§½Ã(Etsy) °°Àº »çÀÌÆ®µµ °è¼ÓÇؼ »ç¾÷À» À¯ÁöÇÒ ¼ö ÀÖ´Ù. µî·ÏµÈ ÆǸÅÀÚ °³°³ÀÎÀÇ ÆǸŽÇÀûÀÌ ´ë´ÜÈ÷ ³ô°Å³ª Àü±¹À» °Å¸ÇÏ´Â À¯Çà»óÇ°À» °³¹ßÇÑ °æ¿ì´Â ¾øÁö¸¸, ÀÌ·± ¼Ò¼ÒÇÑ ÆǸŰ¡ ¿©·µ ¸ðÀÌ´Ùº¸´Ï ¿§½Ã¶ó´Â »ç¾÷À» À¯ÁöÇϱ⿡ ÃæºÐÇÑ ÀÚ±ÝÀÌ À¯ÅëµÇ´Â °ÍÀÌ´Ù.
º¸¾ÈÀü¹® ´º½º »çÀÌÆ®¿¡¼ À¢ ¸¶ÄÉÆà ¼ö¾÷À̳İí ÇÒ ¼öµµ ÀÖ°Ú´Ù. ¹°·Ð ·ÕÅ×ÀÏÀ̶õ ¸» ÀÚü´Â ½ÃÀå¿¡¼ Àα⸦ ´©¸®´Â Ç°¸ñ°ú ±×·¸Áö ¾ÊÀº Ç°¸ñ °£ÀÇ °ü°è¸¦ ¼³¸íÇÏ´Â ¿ë¾î·Î¼ óÀ½ ¼Ò°³µÆÁö¸¸ ÇöÀç´Â ºÐ¾ß¸¦ ¸··ÐÇÏ°í µ¢Ä¡°¡ Å©°í Á¸Àç°¨ÀÌ ºÐ¸íÇÑ °Í°ú »ó´ëÀûÀ¸·Î ´ú Áß¿äÇؼ ½Ã°£ÀÌ È帣¸é¼ »ç¶÷µé¿¡°Ô ÀØÇôÁö´Â °Í »çÀÌÀÇ °ü°è¸¦ ¼³¸íÇÏ´Â µ¥¿¡µµ ¾²ÀÌ°í ÀÖ´Ù. ¿äÁòó·³ ´«¸¸ µ¹¸®¸é ¼ÒÇÁÆ®¿þ¾î¸¦ ¸¶ÁÖÇÒ ¼ö ÀÖ´Â ¼¼»ó¿¡¼ ·ÕÅ×ÀÏÀº ´ëÁßÀÌ Àß Á¢ÇÏ°í Àß ¾Ë°í ÀÖ´Â ¼Ò¼öÀÇ ½Ã½ºÅÛ¿¡¼´Â ÆÐÄ¡¿Í ¾÷µ¥ÀÌÆ®°¡ Áï½Ã ÀÌ·ç¾îÁöÁö¸¸ ±×·¸Áö ¾ÊÀº ½Ã½ºÅÛ¿¡¼´Â ÆÐÄ¡°¡ ±²ÀåÈ÷ ´Ê°Ô ÀÌ·ç¾îÁö°Å³ª ¾Æ¿¹ ÀÌ·ç¾îÁöÁö ¾ÊÀº ä·Î ¹æÄ¡µÇ´Â Çö»óÀ» ÀǹÌÇϱ⵵ ÇÑ´Ù.
2008³â 10¿ùÀÇ »ç°ÇÀ» ¶°¿Ã·Áº¸ÀÚ. ¹°·Ð ¿©·¯ °¡Áö ±â¾ïÀÌ ½ºÄ¥ Å×Áö¸¸, ±×¶§ IT³ª º¸¾È ºÐ¾ß¿¡ ÀÖ¾ú´Ù¸é ±×´Þ ÀÖ¾ú´ø ¸¶ÀÌÅ©·Î¼ÒÇÁÆ®ÀÇ ÆÐÄ¡°¡ ±â¾ï³¯ °ÍÀÌ´Ù. ±× ÆÐÄ¡ Áß MS08-067¿¡ ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® ¼¹ö ¼ºñ½º¿¡¼ ¿ø°ÝÄÚµå ½ÇÇàÀ» °¡´ÉÄÉ Çß´ø Ãë¾àÁ¡ÀÌ ³»Æ÷µÇ¾î ÀÖ¾ú°í, ´ç¿¬È÷ »ç¶÷µéÀº Æдп¡ ºüÁ³´Ù. ±×·¯³ª ±×¿¡ ´ëÇÑ ÆÐÄ¡°¡ ±Ý¹æ ÀÌ·ç¾îÁ³°í ¸ðµç °ÍÀÌ ¿ø»óº¹±Í µÇ´Â µí Çß´Ù.
±×·±µ¥ 2014³â 6¿ù ÇöÀç±îÁöµµ ÀÌ ºÎºÐ¿¡ ÆÐÄ¡°¡ ¾È µÈ ½Ã½ºÅÛÀÌ Á¸ÀçÇÏ°í ÀÖ´Ù. ¾ÆÁ÷µµ ´©±º°¡´Â ÀÌ Ãë¾àÁ¡À» ã¾Æ³»°í °Çµå·Á °ø°ÝÀ» °¨ÇàÇÑ´Ù´Â ¾ê±â´Ù. ÇØÄ¿µéÀº ´Ù ¾Ë°í ÀÖ´Ù. ¾ÆÁ÷µµ °ü¸® ¹Û¿¡¼ ÆÐÄ¡¸¦ ±â´Ù¸®°í ÀÖ´Â ½Ã½ºÅÛÀÌ ¹«¼öÈ÷ ¸¹´Ù´Â °ÍÀ». ¾Æ¹«¸® ÃֽŠÆÐÄ¡°¡ ¹ßÇ¥µÈ´Ù°í Çصµ ¼¹ö ¼¼»óÀº ³Ð°í Ãë¾àÁ¡Àº ¸¹´Ù´Â °ÍÀ». ¹°·Ð MS08-067°ú °ü·ÃÀÌ ÀÖ´Â ½Ã½ºÅÛÀº ÀÌ¹Ì ÇÑÂü Àü¿¡ ´ëºÎºÐ »ç¶óÁ³Áö¸¸ ¿ÏÀüÈ÷ ¾ø¾îÁø °ÍÀº ¾Æ´Ï´Ù. ¾ÆÁ÷µµ ±ä ²¿¸®(·ÕÅ×ÀÏ)ÀÇ ³¡ ¾ðÀú¸®¿¡¼ ÆÐÄ¡¸¦ ±â´Ù¸®´Â ½Ã½ºÅÛµéÀº ºÐ¸íÈ÷ Á¸ÀçÇÑ´Ù.
ÇÏÆ®ºí¸®µå´Â MS08-067À» ¼ö½Ê °³ ÇÕÇÑ °Íº¸´Ù ÈξÀ Ä¡¸íÀûÀÌ°í À§ÇèÇÑ Ãë¾àÁ¡ÀÌ´Ù. °Ô´Ù°¡ ·ÕÅ×ÀÏ Çö»ó±îÁö Àû¿ëÇÒ °æ¿ì ±× À§Ç輺Àº ´õ ³ô¾ÆÁø´Ù. MS08-067Àº À©µµ¿ì°¡ ±ò¸° ½Ã½ºÅÛ¿¡¼¸¸ À¯È¿ÇÏ´Ù´Â Á¦ÇÑÀÌ¶óµµ ÀÖ¾úÁö ÇÏÆ®ºí¸®µå´Â OpenSSL¿¡ ¿µÇâÀ» ÁØ´Ù. Áï ³Ê¹« ±¤¹üÀ§ÇÑ ½Ã½ºÅÛ¿¡ ±ò¸° ÇÁ·ÎÅäÄÝÀ̶ó ÇÇÇØ ¿¹Ãø ÀÚü°¡ ¾Æ¿¹ ºÒ°¡´ÉÇÒ Á¤µµ´Ù. À¥»çÀÌÆ®³ª ºí·Î±×´Â ¹°·Ð ¾Èµå·ÎÀ̵å OS³ª VPN ¼ÒÇÁÆ®¿þ¾î¿¡¼µµ ¹ß°ßµÇ±âµµ Çß´Ù.
ÀÌ Á¤µµ¸¸ Çصµ ¾î¸¶¾î¸¶Çѵ¥ °¡Á¤¿ë °øÀ¯±â³ª CCTV ½Ã½ºÅÛ, HVAC Á¦¾î ½Ã½ºÅÛ µî ºñ±³Àû »ç¼ÒÇÏ°Ô º¸ÀÌ´Â ¼ö¸¸ °¡ÁöÀÇ ½Ã½ºÅÛ±îÁö ÇÕÇÏ¸é ±× ÇÇÇØ´Â ¡®±¤¹üÀ§¡¯¶ó´Â ´Ü¾î·Î´Â ¼³¸íÀÌ ºÒ°¡´ÉÇÒ Á¤µµ·Î ´Ã¾î³´Ù. °¡Á¤°ú »ç¹«½Ç·Î °ø±ÞµÇ´Â Àü±â¿Í ¹°À» Á¦¾îÇÏ´Â ½Ã½ºÅÛ°ú SCADA ½Ã½ºÅÛ¿¡µµ OpenSSLÀÌ Àû¿ëµÈ´Ù°í ÇÏ´Ï ÀáÀç ÇÇÇرԸð´Â »ó»óÀ» ÃÊ¿ùÇÑ´Ù. °Ô´Ù°¡ ¿ì¸®´Â Áö±Ý »ç¹° ÀÎÅÍ³Ý ½Ã´ë·Î ºü¸£°Ô ¿Å°Ü°¡°í ÀÖÀÝÀº°¡.
±×·¯¸é OpenSSLÀ̶õ °ÍÀ» ¾Æ¿¹ ½Ã½ºÅÛ¿¡¼ »©¹ö¸®¸é ¾î¶³±î? ±¸´õ±â ¹«¼¿ö¼ Àå ¸ø ´ã±Ù °Íµµ ¸ðÀÚ¶ó ºó´ë ÀâÀ¸·Á°í ÁýÀ» Å¿ì´Â °ÝÀÌ´Ù. OpenSSL¿¡´Â ÀÎÅÍ³Ý Æ®·¡ÇÈÀÇ ¾Ïȣȿ¡ ´ëÇÑ °øÅëÀÇ ¶óÀ̺귯¸®¸¦ Á¦°øÇÑ´Ù´Â ºÐ¸íÇÑ Á¸Àç¸ñÀûÀÌ ÀÖÀ¸¸ç ÇÏÆ®ºí¸®µå¿Í °°Àº Ãë¾àÁ¡Àº ¾î¶² ¼ÒÇÁÆ®¿þ¾î¿¡¼µµ ¹ß»ýÀÌ °¡´ÉÇÑ °ÍÀÌ´Ù. °Ô´Ù°¡ ÇÏÆ®ºí¸®µå ´öºÐ¿¡ OpenSSL·Î »ç¶÷µéÀÇ À̸ñÀÌ ½ò·È´Ù´Â °Ç ¾ÕÀ¸·Î ´õ ¸¹Àº Ãë¾àÁ¡¿¡ µå·¯³¯ ¼ö ÀÖ´Ù´Â °ÍÀÌ°í, ÀÌ´Â ²ÙÁØÇÑ ÆÐÄ¡¿Í ¾÷µ¥ÀÌÆ®·Î ´õ ´Ü´ÜÇØÁú °ÍÀÓÀ» ÀǹÌÇÑ´Ù. OpenSSL ÀÚü´Â ÀÌ·± °úÁ¤µéÀ» ÅëÇØ ´õ ¿Ïº®ÇÑ ¼ÒÇÁÆ®¿þ¾î°¡ µÉ °ÍÀÌ´Ù.
±×·¸´Ù°í ÀÌ·± ¸Õ ¹Ì·¡¿¡ ÀϾ Èñ¸Á¸¸À» °¡Áö°í ±àÁ¤ÀÇ Èû¸¸À» ¹ßÈÖÇÏ°í ¾É¾Æ ÀÖ´Â °Í ¿ª½Ã ¾È µÉ ³ë¸©ÀÌ´Ù. ¸ÕÀú ¿ì¸®ÀÇ »ýÈ° ¼Ó¿¡ OpenSSLÀÌ ²Ï³ª ±í¼÷ÇÏ°Ô ÀÚ¸® Àâ°í ÀÖ´Ù´Â °É ÀÌÇØÇÏ°í ŽÁöÇØ¾ß ÇÒ ÇÊ¿ä°¡ ÀÖ´Ù. °ü¸®ÀÚ ÀÎÅÍÆäÀ̽º¸¦ °¡Áö°í ÀÖ´Â ±â±â³ª ½Ã½ºÅÛ¿¡´Â ÀüºÎ OpenSSL Äڵ尡 »ç¿ëµÆÀ» °¡´É¼ºÀÌ Àִµ¥, À̸¦ ¾Ë¾Æ³»·Á¸é ±â±â¿Í ½Ã½ºÅÛ¿¡ ´ëÇÑ ÀÌÇØ°¡ ¹Ýµå½Ã µÞ¹ÞħµÇ¾î¾ß ÇÑ´Ù. ±×·¯´Ï ¸¹Àº °øºÎ¿Í ³ë·ÂÀÌ ÇÊ¿äÇÏ´Ù. ±×·¯³ª °¢ÀÚÀÇ ÀÚ¸®¿¡¼ ÀÌ·± ³ë·ÂÀ» Á¶±Ý¸¸ ±â¿ïÀδٸé ÇÏÆ®ºí¸®µåÀÇ ·ÕÅ×ÀÏÀ» Á¶±ÝÀº ÁÙÀÏ ¼ö ÀÖ´Ù.
ÀڱⰡ °ü¸®Çϰųª »ç¿ëÇÏ´Â ½Ã½ºÅÛÀ̶ó°í ¼Ó¼ÓµéÀÌ ¾Ë ¼ö´Â ¾ø´Ù. °Ô´Ù°¡ IT ¾÷°è´Â ºü¸£°Ô º¯ÇÏ°í Àֱ⠶§¹®¿¡ °øºÎÇÏ°í ÂѾư¡´Â °Í¿¡µµ ÇÑ°è°¡ ÀÖ´Ù. »ç¹° ÀÎÅͳÝÀ¸·Î ÀÎÇØ ¿ì¸®´Â ¿ì¸®µµ ¸ð¸£°Ô Á¡Á¡ ´õ ÀÌÇØÇÒ ¼ö ¾ø´Â °Íµé¿¡°Ô µÑ·¯½Î¿© »ì°Ô µÉ °ÍÀÌ´Ù.
Ãë¾àÁ¡À̶õ ±×·± ¡®¼û¾îÀÖ´Â ¹ÌÁöÀÇ ¿µ¿ª¡¯À̸ç, ¾ÕÀ¸·Î ¿ì¸®´Â ÇÏÆ®ºí¸®µå¿Í ºñ½ÁÇϰųª ´õ ±î´Ù·Î¿î Çö»óÀ» °è¼ÓÇؼ °ÞÀ» °ÍÀÌ´Ù. ´õ ³ªÀº ÆÐÄ¡¿Í ¾÷µ¥ÀÌÆ®¸¦ ±â´Ù¸®¸é¼ ¿ì¸®´Â ±×·± ¹ÌÁöÀÇ ¿µ¿ªÀ» ¿ì¸® ¾È¿¡¼ Á¶±Ý¾¿ Á¶±Ý¾¿ Áö¿ö³ª°¡¾ß ÇÑ´Ù. Å« ÈûÀ̶õ ¸ÅÀÏ Á¶±Ý¾¿ Å°¿öÁö´Â °ÍÀÌ´Ù.
¨ÏDARKReading
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>