리눅스 서버, 오픈SSL 취약점 비상

일반입력 :2014/04/09 10:58    수정: 2014/04/11 11:16

손경호 기자

아파치, 엔진엑스(NGINX) 등 리눅스 기반 웹서버를 구축한 곳에 사용되는 암호화 통신을 훔쳐볼 수 있는 취약점이 발견돼 긴급히 패치가 필요한 상황이다.

국내에서도 아파치, 엔진엑스(NGINX) 등과 같은 리눅스 기반 웹서버를 사용하는 웹사이트들이 많은 만큼 주의가 요망된다.

미국 지디넷 등 외신에 따르면 해외에서는 이미 야후, 아마존웹서비스(AWS), 소셜데이팅서비스인 오큐피드 등이 이번에 발견된 취약점으로 직접적으로 영향을 받았고 리눅스 계열 운영체제(OS)인 센트OS, 데비안, 페도라, 레드햇, 오픈SUSE, 우분투 등도 위험에 노출될 수 있는 것으로 드러났다.

오픈소스 형태로 암호화 통신을 위해 사용되는 오픈SSL 프로토콜은 지난 2012년 3월 12일 공개된 1.0.1 버전이 전 세계 수백만개 웹사이트에 적용돼 있다.

문제가 된 취약점은 일명 '하트블리드(HEARTBLEED)'라고 불리는 것으로 공통취약점 항목에 'CVE-2014-0160'으로 분류된다.

이 취약점은 구글 보안팀 닐 메타 연구원과 보안회사 코데노미콘이 공동으로 발견했다. 해당 내용을 전달 받은 오픈SSL측은 현재 취약점을 제거한 버전인 오픈SSL 1.0.1g를 배포 중이다.

오픈SSL에 따르면 이 취약점은 클라이언트(PC)와 서버 사이에 암호화 통신을 위해 사용되는 64킬로바이트(KB) 용량의 메모리를 해킹한다.

본래 이 메모리 영역에는 웹서비스 사업자를 확인하고, 웹트래픽, ID 및 비밀번호, 콘텐츠를 암호화 하기 위해 사용되는 비밀키가 담겨 있어 유출될 경우 웹트래픽을 도청하고, 웹서비스 사용자들 사이를 오가는 데이터를 훔쳐내는 등 작업을 수행한다.

하트블리드닷컴에 따르면 해당 웹서버를 사용하는 웹사이트들 중 약 3분의 2가 이 취약점에 노출된 것으로 추정된다.

이 취약점을 통해 웹서비스 사업자를 확인하고, 웹트래픽, ID와 비밀번호, 실제 콘텐츠를 암호화 전송하기 위해 사용되는 비밀키가 유출될 수 있다.

이를 통해 공격자들은 웹트래픽을 도청하고, 웹서비스와 사용자 사이에 오가는 데이터를 훔쳐내는 등의 작업을 수행할 수 있다.

외신에 따르면 아마존은 하트블리드 취약점과 관련 자사에서 제공하고 있는 아마존웹서비스(AWS) 호스팅 인프라스트럭처에 대한 패치를 진행 중이다.

AWS에는 현재 오픈SSL을 활용해 수만명의 클라우드 고객들에게 서비스를 제공하고 있다. 아마존 측은 자사 클라우드 서비스 중 하나인 엘라스틱 로드 밸런서가 하트블리드의 영향을 받은 것으로 확인돼 US-EAST-1 데이터센터를 제외한 모든 지역에서 문제를 해결했다고 밝혔다.

아마존EC2의 경우 자사 리눅스 이미지들을 사용하는 고객들은 문제가 없도록 이미지들을 업데이트해야 한다.

현재 오픈SSL 진영은 해당 취약점을 제거한 오픈SSL 1.0.1g을 배포 중이다. 만약 이전 오픈SSL버전을 쓸 경우 '-DOPENSSL_NO_HEARTBEATS' 플래그를 사용해 컴파일링을 거쳐 취약점을 막을 수 있다. 오픈SSL 1.0.2는 앞으로 유포될 1.0.2-베타2 버전에서 이를 수정할 계획이다.

관련기사

자신이 운영하는 사이트가 하트블리드에 노출됐는지에 대해서는 조회용 웹사이트에 확인해 볼 수 있다.

이글루시큐리티 김동우 연구소장은 마이크로소프트(MS)의 경우 오픈소스가 아닌 자체 SSL 프로토콜을 쓰고 있어 피해가 적을 수 있지만 국내에서도 리눅스 기반 서버가 많이 활용되고 있다는 점에서 문제가 될 가능성이 높다고 밝혔다.