Home > Àüü±â»ç

¿À·¡µÈ SSL 3.0À» ÅëÇÑ ÇªµéÀÇ À§Çù, È£Àç°¡ µÉ ¼öµµ

ÀÔ·Â : 2014-10-16 13:55
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
Áß°£ÀÚ °ø°ÝÀ» °¡´ÉÇÏ°Ô ÇØÁÖ³ª °ø°Ý ¼º¸³ Á¶°ÇÀÌ ±î´Ù·Î¿ö

ºê¶ó¿ìÀú Á¦ÀÛ»çµé ÀÕµû¶ó SSL 3.0 Á¦°ÅÇÏ°Ú´Ù´Â °èȹ ¹ßÇ¥


[º¸¾È´º½º ¹®°¡¿ë] ±¸±ÛÀÇ ¿¬±¸¿øµéÀº ÇöÁö½Ã°¢À¸·Î 14ÀÏ ¹ã, SSLÀÇ ¼¼ ¹ø° ¹öÀü¿¡¼­ »ç¿ëÀÚÀÇ ¾ÏȣȭµÈ À¥ ¹× ±âŸ Ä¿¹Â´ÏÄÉÀÌ¼Ç ¼¼¼Ç¿¡¼­ Áß°£ÀÚ °ø°ÝÀ» °¡´ÉÇÏ°Ô ÇÏ´Â Ãë¾àÁ¡À» ¹ß°ßÇß´Ù°í ¹ßÇ¥Çß´Ù(CVE-2014-3566). ÀÌ °ø°ÝÀº Ǫµé(POODLE, Padding Oracle on Downgraded Legacy Encryption)À̶ó°í ºÒ¸®¸ç ¼öÁ¤ÇϱⰡ ¸Å¿ì ¾î·Á¿î °ÍÀ¸·Î µå·¯³µ´Ù. ¶ÇÇÑ Å¸±êÇü °ø°Ý¿¡ ÃÖÀûÈ­µÈ Ãë¾àÁ¡À̶ó´Â »ç½Çµµ ¹àÇôÁ³´Ù.

 

¡ã ¾Ë°í º¸¸é ±²ÀåÈ÷ µ¿¾ÈÀΠǪµé


»ç½Ç SSL 3.0ÀÌ TLS(Transport Layer Services) 1.0°ú 1.2·Î ´ëüµÈ Áö »ó´çÇÑ ½Ã°£ÀÌ Èê·¶´Ù. ±×·³¿¡µµ ¿¾ ½Ã½ºÅÛ ¹× ¾ÖÇø®ÄÉÀ̼ǰúÀÇ È£È¯¼º ¹®Á¦ ¶§¹®¿¡ SSL 3.0ÀÌ ¿ÏÀüÈ÷ Á¦°ÅµÈ °Ç ¾Æ´Ï¾ú´Ù. ±¸±ÛÀº À̹ø ±âȸ¿¡ SSL 3.0À» Å©·Ò µî ÀÚ»çÀÇ Å¬¶óÀ̾ðÆ® ¼ÒÇÁÆ®¿þ¾î¿¡¼­ ´ÙÀ½ ´Þ±îÁö ÀüºÎ Áö¿ì°Ú´Ù´Â °èȹÀ» ¼¼¿ì°í ÀÖ´Ù. ¸ðÁú¶ó ¿ª½Ã ÆÄÀ̾îÆø½ºÀÇ SSL 3.0À» 11¿ù 25ÀϱîÁö´Â ÀüºÎ Á¦°ÅÇÒ °èȹÀÌ´Ù.


ÇöÀç 98% Á¤µµÀÇ À¥»çÀÌÆ®°¡ SSL 3.0°ú ȣȯÀÌ µÈ´Ù´Â °Ô Åë¼³ÀÌ´Ù. ±×·¯³ª Á¦2, Á¦3ÀÇ ÇÏÆ®ºí¸®µå »çÅ¿¡ µ¹ÀÔÇÑ °ÍÀº ¾Æ´Ï´Ù. ¡°ÇÏÆ®ºí¸®µå¸¸Å­ ½É°¢ÇÑ »óȲÀº ¾Æ´Õ´Ï´Ù. ±×·¸Áö¸¸ °É¸± È®·üÀº ¸Å¿ì ³ôÀº À§ÇùÀÓÀº ºÐ¸íÇÕ´Ï´Ù.¡± È­ÀÌÆ®¿É½º(WhiteOps)ÀÇ ¼ö¼®¿¬±¸¿øÀÎ ´í Ä«¹Î½ºÅ°(Dan Kaminsky)ÀÇ ¼³¸íÀÌ´Ù. ±×¸®°í ÇöÀç±îÁö SSL 3.0À» ºñÈ°¼ºÈ­½ÃÅ°´Â °Í ¿Ü¿¡´Â µüÈ÷ ´ëó¹ýÀÌ ³ª¿ÀÁöµµ ¾ÊÀº »óÅÂÀ̱⵵ ÇÏ´Ù. ¡°SSLÀÌ TLS·Î ´ëüµÈ Áöµµ ²Ï Áö³µ±â ¶§¹®¿¡ SSLÀ» ¾Æ¿¹ Á¦°ÅÇÑ´Ù°í Çؼ­ Å« ¹®Á¦°¡ ¹ß»ýÇÒ °Í °°Áö´Â ¾Ê½À´Ï´Ù.¡±


Ä÷¸®½º(Qualys)ÀÇ ÀÌ¹Ý ¸®½ºÆ½(Ivan Ristic) Ã¥ÀÓ ¿£Áö´Ï¾î ¿ª½Ã À̹ø ¡®Çªµé »çÅ¡¯°¡ ÇÏÆ®ºí¸®µå¿¡ ÇÊÀûÇÒ ¹Ù´Â Àý´ë ¾Æ´Ï¶ó´Â µ¥¿¡ µ¿ÀÇÇÑ´Ù. ¡°Å« ¹®Á¦¶ó´Â »ç½Ç¿¡´Â º¯ÇÔÀÌ ¾ø½À´Ï´Ù. ÇÏÁö¸¸ ÀÌ°É·Î ÀÎÅÍ³Ý È¯°æ¿¡ Á¾¸»ÀÌ ¿Ã °Å °°Áö´Â ¾Ê½À´Ï´Ù. ÀÏ´ÜÀº ÀÌ°É È°¿ëÇÑ °ø°Ý ÀÚü°¡ ½±Áö ¾Ê½À´Ï´Ù. ±²ÀåÈ÷ Á¤±³ÇÑ ±â¼úÀÌ ÇÊ¿äÇÏÁÒ. ±×·¯´Ï ƯÁ¤ ´ë»óÀ» ÇâÇÑ È®°íÇÑ ÀÇÁö°¡ ÀÖÁö ¾ÊÀº ÀÌ»ó ÇØÄ¿ ÀÔÀå¿¡¼­µµ ÀÌ°É ¾Ç¿ëÇÑ °ø°ÝÀ» ÇÏÁö´Â ¾ÊÀ» °Ì´Ï´Ù.¡±


SSL ÇÁ·ÎÅäÄÝÀ̶ó´Â ¿À·¡µÈ À¯»êÀ» ¾ø¾Ù ±âȸ¸¦ Á¦°øÇß´Ù´Â µ¥¿¡¼­ À̹ø Ǫµé »çŸ¦ ±àÁ¤ÀûÀ¸·Î º¸´Â ½Ã°¢µµ Á¸ÀçÇÑ´Ù. ¡°¿À·¡µÈ ÇÁ·ÎÅäÄÝÀ» ¾ø¾Ý´Ù´Â °Ç ½¬¿î ÀÏÀÌ ¾Æ´Õ´Ï´Ù. ºê¶ó¿ìÀú Á¦ÀÛ»çµéÀÌ SSL 3.0À» Á¦°ÅÇÏ°Ú´Ù´Â °èȹÀ» ¹ßÇ¥ÇÏ´Â °Ô Àå±âÀûÀ¸·Î º¸¸é ´õ ÁÁÀº °á°ú¸¦ ³¾ °Í °°½À´Ï´Ù. ÀüÈ­À§º¹ÀÌ µÉ µí ÇÕ´Ï´Ù.¡± ¸®½ºÆ½ÀÇ ÀÇ°ßÀÌ´Ù.


ÇÑÆí SSL 3.0À» ¾Ç¿ëÇÑ °ø°ÝÀÌ ÀϾ·Á¸é Ŭ¶óÀ̾ðÆ®¿Í ¼­¹ö¿¡¼­ ¸ðµÎ SSL 3.0 ǪµéÀ» Áö¿øÇØ¾ß ÇÒ »Ó¸¸ ¾Æ´Ï¶ó »ç½Ç»ó °­Á¦ÀûÀ¸·Î SSL 3.0À» È°¼ºÈ­ÇÒ ¼ö¹Û¿¡ ¾ø´Â ȯ°æÀÌ µÇ¾î¾ß ÇÑ´Ù´Â ÀüÁ¦Á¶°ÇÀÌ ÇÊ¿äÇÏ´Ù. ±×·± Á¶°ÇÀÌ ¸¸Á·µÇ¾úÀ» ¶§ °ø°ÝÀÚ´Â »ç¿ëÀÚ°¡ ¹æ¹®ÇÏ´Â À¥ »çÀÌÆ® Áß ¾Ïȣȭ°¡ µÇÁö ¾ÊÀº °÷¿¡ ½É±ä ÄÚµå µîÀ» ÅëÇØ ¾Ç¼º ÀÚ¹Ù½ºÅ©¸³Æ®¸¦ ÇÇÇØÀÚÀÇ ºê¶ó¿ìÀú¿¡ »ðÀÔÇÒ ¼ö ÀÖ°Ô µÈ´Ù. ±×·¸°Ô ºê¶ó¿ìÀú°¡ ÇÑ ¹ø °¨¿°µÇ¸é °ø°ÝÀÚ´Â Áß°£ÀÚ °ø°ÝÀ» ½ÇÇàÇÒ ¼ö ÀÖ°Ô µÇ´Âµ¥ Á¾±¹¿¡´Â ÇÇÇØÀÚÀÇ ÄíÅ°¿Í ÀÎÁõ¼­¸¦ ¼Õ¿¡ Áæ ¼ö ÀÖ°Ô µÇ´Â °ÍÀÌ´Ù.


¡°°á±¹¿¡´Â Ŭ¶óÀ̾ðÆ®¿¡ ´ëÇÑ °ø°ÝÀÔ´Ï´Ù. 2011³â¿¡ ÀÖ¾ú´ø BEAST °ø°Ý°ú À¯»çÇÑ °ÍÀÌÁÒ. ±×·¸±â ¶§¹®¿¡ Ǫµé Ãë¾àÁ¡ÀÌ À̹ø¿¡ ±×·¸°Ô ¸í¸íµÈ °Í»ÓÀÌÁö »ç½ÇÀº º¸¾È ¾÷°è¿¡¼­´Â ¾Ë°Ô ¸ð¸£°Ô ³Î¸® ÆÛÁ®¿Ô´ø °ÍÀ̳ª ´Ù¸§ÀÌ ¾ø½À´Ï´Ù. ´Ù¸¸ ¹«½ÃÇØ¿Ô´ø °Í»ÓÀÌÁÒ.¡±


¶ÇÇÑ Æ®·¯½ºÆ®¿þÀ̺ê(Trustwave)ÀÇ À§Çù ºÐ¼®°¡ÀÎ Ä® ½Ã±Û·¯(Karl Sigler)´Â ÇÇÇØÀÚ°¡ ¿Â¶óÀÎ »óÅÂÀ̰ųª ¹°¸®ÀûÀ¸·Î °¡±î¿î °÷¿¡ À־ °ø°ø ¿ÍÀÌÆÄÀ̸¦ »ç¿ë Áß¿¡ ÀÖ¾î¾ß¸¸ °ø°ÝÀÌ °¡´ÉÇÏ´Ù°í À̾߱âÇÑ´Ù. ±×·¸Áö¸¸ SSL¿¡ ±â¹ÝÇÑ VPN Ŭ¶óÀ̾ðÆ® ¼ÒÇÁÆ®¿þ¾î´Â Ǫµé °ø°ÝÀ» ¹ÞÀ» È®·üÀÌ Àû´Ù´Â °Ô ¸®½ºÆ½ÀÇ ÀÇ°ßÀÌ´Ù. ¡°VPN Ŭ¶óÀ̾ðÆ®¿¡¼­´Â ÀÌ Ãë¾àÁ¡À» °ø·«ÇÏ´Â °Ô ºÒ°¡´ÉÇÕ´Ï´Ù. ÃÖ½ÅÆÇ¿¡¼­´Â ¾îÂ÷ÇÇ SSL 3.0ÀÌ È£È¯µÇÁö ¾ÊÀ» °Å°í¿ä.¡±


Ǫµé ¼Ò¸®·Î »ì¦ ½Ã²ô·¯¿öÁö´Â °¨ÀÌ ÀÖÁö¸¸ »ç½Ç ÇØ°áÃ¥Àº °£´ÜÇÏ´Ù. SSL 3.0À» ÀÌÁ¦ ¿µ¿øÈ÷ Ãß¾ï¼ÓÀ¸·Î º¸³»¹ö¸®¸é µÈ´Ù. À©µµ¿ì XPµµ °¬°í, IE 6µµ °¬´Ù. ÀÌÁ¦ SSL 3.0ÀÇ Â÷·ÊÀÏ »ÓÀÌ´Ù. SANS ÀÎÅͳݽºÅè¼¾ÅÍ´Â ¿Â¶óÀΠǪµé ½ÃÇè »çÀÌÆ®¸¦ °³¼³¿¡ ºê¶ó¿ìÀú¸¦ ºü¸£°Ô È®ÀÎÇغ¼ ¼ö ÀÖµµ·Ï Çß´Ù.

@DARKReading

[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]


<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 1
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)