웹사이트 운영에 널리 쓰이는 오픈소스 소프트웨어(SW) '아파치 웹서버'에서 외부 요청시 서버 메모리 내용을 유출시키는 버그가 발견됐다. 그 최초 발견자는 이를 '옵션스블리드(Optionsbleed)'라고 명명했다. 이 버그의 성격을 3년전 악명을 떨친 '하트블리드(Heartbleed)' 버그에 빗댄 것이다.
옵션스블리드는 아파치 웹서버가 HTTP 메서드 요청에 응답할 때 서버의 메모리에 들어 있는 엉뚱한 내용까지 반환하는 버그다. GET과 POST가 흔히 HTTP 요청에 쓰이는 메서드다. 옵션스블리드는 그 이름처럼 OPTIONS라는 메서드를 통한 서버 요청 결과로 발생한다.
독일 프리랜서 IT저널리스트, 한노 뵈크(Hanno Bock)가 이를 발견해 지난 18일 이를 처음 알린 인물이다. 그는 블로그 포스팅에서 옵션스블리드를 다음과 같이 설명했다. [☞원문보기]
"옵션스블리드는 아파치 HTTP의 유즈 애프터 프리(use after free) 오류로, HTTP OPTIONS 요청에 응답시 생성되는 '허용(Allow)' 헤더를 오염시킨다. 민감한 내용을 포함할 수 있는 서버 프로세스의 임의 메모리 조각을 유출시킬 수 있다. 메모리 조각은 수차례 요청 후 변경되기에, 취약한 호스트는 임의 수의 메모리 청크를 유출당할 수 있다. 웹마스터가 잘못된 HTTP 메서드로 'Limit' 명령을 사용하려 하면 발생한다."
유즈 애프터 프리 버그는 시스템 메모리 영역의 정보를 탈취당할 수 있는 취약점 중 하나다. 프로그램에 할당됐다가 사용이 끝난 이후 할당이 해제된 메모리 영역에서 미처 소거되지 않고 남아 있는 데이터를 이용당할 수 있는 유형의 보안취약점을 유즈 애프터 프리 버그로 분류한다.
한노 뵈크는 이어 20일(현지시간) 자신이 발견한 옵션스블리드 버그가 실은 한참 전 다른 사람에게 발견된 것이었음을 알게 됐다고 밝혔다. 지난 2014년 '웹상의 다양한 HTTP 메서드 지원'이란 제목으로 '아카이브(Arxiv)'에 올라온 문건에 다뤄진 내용이었다는 설명이다. 다만 발견 당시엔 이게 아파치 웹서버의 문제로 구체화되지 않았고, 보안취약점으로 인식되지도 않았다고 지적했다. [☞원문보기] 아카이브는 전산과 다양한 과학분야의 출판전 논문이 공개되는 웹사이트다.
온라인 IT미디어 아스테크니카는 이날 보도를 통해 옵션스블리드와 관련된 정보를 소개했다. 이미 그에 대한 패치가 나왔으며, 지난 2014년 4월 발견돼 전세계 오픈소스SW 기반 웹사이트 운영환경을 위협한 하트블리드 버그만큼 위협적인 취약점은 아니라고 평했다. [☞원문보기]
하트블리드는 오픈소스SW 기반으로 돌아가는 웹서버가 HTTPS 암호화통신을 수행할 수 있도록 만들어진 암호화 라이브러리 '오픈SSL(OpenSSL)'에서 발견된 보안 버그였다. 공격자가 오픈SSL을 적용한 웹서버에서 이 버그를 이용해 웹사이트의 비밀 암호키를 훔쳐내거나 다중요소인증으로 보호된 네트워크를 해킹할 수 있게 할만큼 심각한 위협을 야기했다.
당시 주요 클라우드 업체 서비스, 글로벌 네트워크 장비업체 제품이 하트블리드 취약점의 영향을 받은 것으로 알려졌다. [☞관련기사] 대다수 인터넷 웹사이트 운영 서버는 이를 패치했지만, 그로부터 약 3년이 지난 2017년 1월까지도 미국, 한국, 중국 지역내 적지 않은 서버가 취약점을 방치하고 있는 것으로 파악되기도 했다. [☞관련기사]
관련기사
- 오픈SSL 라이선스, 아파치v2로 바뀐다2017.09.21
- 클라우드블리드, '최악 보안사고' 오명 피할까2017.09.21
- "한국, 세계 2위 하트블리드 취약점 보유국"2017.09.21
- 하트블리드 오명 쓴 '오픈SSL', 새 버전 뜬다2017.09.21
하트블리드에 비해 옵션스블리드로 야기될 수 있는 보안 사고의 잠재적 피해 대상자나 범위는 제한적이다. 옵션스블리드를 발견한 한노 뵈크는 알렉사 인기도 상위 100만개 웹사이트 가운데 고작 466개 사이트에서만 이 취약점을 확인했다고 밝혔다.
아스테크니카의 보안 담당 편집자 댄 구딘은 이 버그가 단일 머신을 여러 고객이 공유하는 서버 환경에서 극대화된다고 설명했다. 버그 특성상 동일 시스템을 다루는 다른 고객의 정보를 빼내기 용이하다는 이유에서다. 반면 인터넷 전체 환경을 기준으로 놓고 보면 이런 위협의 심각도는 줄어든다고 덧붙였다. 아파치 웹서버에 의존하며 특히 공유 호스팅 서비스에 속한 조직이라면 서둘러 패치를 적용하라고 권고했다.