오픈 시큐어소켓레이어(OpenSSL)에서 발견된 여섯 가지 보안 결함이 개선됐다. 오픈SSL은 네트워크를 통해 데이터 통신에 쓰이는 프로토콜로, 트랜스포트 레이어 보안(TLS)과 SSL의 오픈 소스를 구현할 수 해주는 것이다. 발견된 보안 결함은 오픈SSL의 암호화 관련 취약점인 것으로 알려졌다.
일반적으로 오픈SSL은 프로그래밍 C언어로 작성된 중심 라이브러리 안에 기본적으로 암호화 기능 및 여러 유틸리티 함수들이 구현돼 있다. 또한 이는 각기 다른 수 많은 암호화 알고리즘도 지원한다.
기본적으로 오픈SSL을 이용하는 TLS와 SSL이 네트워크 상에서의 통신 과정의 보안과 데이터 무결성을 확보하도록 지원해주기 때문에 여기에 보안 결함이 발생하면 보안 위협에 고스란히 노출될 수 있다.
6일(현지시간) 씨넷뉴스는 오픈SSL에서 발견된 여섯 가지 보안 결함이 개선됐음을 보도하며, 사용자가 SSL과 TLS프로토콜의 오픈소스를 실행할 때 발생하는 문제점이었다고 언급했다. 이는 심각한 보안 취약점으로 데이터크램TLS 평문(Plaintext) 회복 공격으로 분석하고 있다. 이 보안 결함의 심각성은 이미 공개적으로도 알려진 상태다.
보안 결함으로 지적된 데이터그램TLS 평문 회복 공격은 암호화된 데이터를 암호화되지 않은 평문 형태로 다시 복호화해 정보를 공개할 수 있는 형태로 바꾸는 것이다.
현재 이 보안 결함은 오픈SSL 1.0버전과 0.9.8s버전에서 개선된 것으로 알려졌다.
관련기사
- 2012년 스마트폰 보안 위협은 뭐?2012.01.09
- 기업 ERP, 보안 안전지대 아니다2012.01.09
- 2012년 우리를 위협할 보안 위협 베스트72012.01.09
- 미국은 '클라우드 보안' 어떻게 하나2012.01.09
씨넷뉴스는 최근 오픈SSL 업데이트가 이뤄지면서 정책 확인 실패를 유도하는 제 3세대 해킹기법으로 불리우는 더블프리버그와 오픈SSL의 1.0 이전 버전은 물론 0.9.8 버전에서도 제대로 암호화하지 못하는 것이 문제점이라고 전했다. 이 취약점은 클라이언트와 서버 모두 SSL3.0 신호변경을 통해 감염되는 것으로 알려졌다.
이에 대해 오픈소스그룹은 “각 기록들은 초기내용이 설정되지 않은 메모리에 15바이트까지 이상 보내져 암호화되며 SSL까지 저장된다”면서 “이전에 자유 메모리에 민감한 콘텐츠까지 포함된다”고 설명했다. 또한 현재까지 발견된 보안 결함들은 모두 개선한 것으로 알려졌다.
