IT업계, 오픈SSL 취약점 '하트블리드' 비상 경계령

클라우드에 네트워크 장비까지 영향권 진입

일반입력 :2014/04/11 17:56

손경호 기자

최근 오픈SSL 암호화 프로토콜에서 발견된 취약점인 '하트블리드(HEARTBLEED)'가 구글, 아마존 등 주요 클라우드 서비스 제공 업체들은 물론 시스코시스템즈, 주니퍼네트웍스의 일부 네트워크 장비에도 영향을 준 것으로 나타났다. 관련 회사들은 긴급 패치를 적용하는 등 문제해결에 나서고 있으나, 위험이 해소된 건 아니라는 지적이다.

하트블리드는 클라이언트(PC)와 웹서버 간 전송 구간 내에 64킬로바이트(KB)에 해당하는 메모리값을 계속 읽어낼 수 있게 한다. 해당 메모리 영역에 웹서버에 접속할 수 있는 비밀키값이 포함됐을 경우 이를 알고 있는 공격자는 서버에 저장된 정보들을 모두 유출시키거나 변경할 수 있다.

심각한 점은 많이 활용되고 있는 리눅스 계열 서버 대부분이 오픈SSL을 통해 인증을 구현하고 있고, 클라우드 서비스를 활용해 가상머신(VM) 형태로 서버를 구동하는 곳들도 암호화 통신에 오픈SSL을 적용했다면 모두 위험에 노출될 수 있다는 것이다.

지금까지는 오픈SSL 1.0.1, 1.0.2-베타 버전이 영향을 받는 것으로 확인됐다. 그런만큼 1.0.1g 버전으로 신속히 패치해야 한다는 지적이다.

10일(현지시간) 미국 지디넷 등 외신에 따르면 해당 취약점은 구글, 아마존웹서비스(AWS), 랙스페이스 등에도 영향을 주는 것으로 확인됐다. 마이크로소프트(MS) 애저의 경우 해당 취약점이 적용되지는 않지만 애저에서 리눅스 이미지를 구동하는 서버를 운영하는 사용자들은 피해를 입을 수도 있는 것으로 나타났다.

이와 관련 MS는 공지를 통해 애저는 물론 윈도에 적용된 암호화 통신(SSL/TLS)는 영향을 받지 않았다며 윈도는 시큐어채널이라는 자체 암호화 구성요소를 사용해 하트블리드 취약점에 노출되지 않았다고 밝혔다. 그러나 이 회사는 애저를 가상머신(VM)으로 사용해 리눅스 이미지로 서버를 구동할 경우에는 문제가 불거질 수 있다고 덧붙였다.

한국MS 백승주 부장은 다만 시큐어채널 형태가 아닌 오픈SSL을 사용해 윈도용 아파치 서버를 쓰는 경우에는 주의가 필요하다고 말했다.

AWS는 자사 클라우드 서비스 중 엘라스틱 로드 밸런서, EC2, 옵스웍스, 엘라스틱 빈스토크, 클라우드 프론트 등의 서비스가 영향을 받는 것으로 확인됐다. AWS는 자사 홈페이지를 통해 안내문을 게재하고 패치 방법을 공개했다.

수많은 사용자들이 활용하고 있는 구글은 문제가 더 심각하다는 지적이다. 현재 구글은 구글 검색, 지메일, 유튜브, 구글 월릿, 구글 플레이 스토어, 구글 앱스 등에 대한 하트블리드 취약점 제거용 패치를 적용 중이다.

구글 크롬이나 크롬OS 등은 영향을 받지 않은 것으로 확인됐다. 구글은 현재 모바일 OS 중에서는 안드로이드 4.1.1 젤리빈에서도 패치를 준비 중이며, 다른 버전 OS에서는 문제가 없는 것으로 나타났다고 밝혔다.

구글은 클라우드SQL과 관련 모든 인스턴스에 대한 패치를 추가했다. 또 고객들에게 구글 컴퓨트 엔진을 사용할 경우 일일이 수동으로 현재 구동 중인 인스턴스에 대한 오픈SSL 버전을 업데이트하거나 기존 이미지 대신 오픈SSL이 업데이트된 이미지를 사용해야 한다고 조언했다.

IaaS 형태로 제공되고 있는 구글 컴퓨트 엔진을 쓰는 리눅스 계열 OS인 데비안, 레드햇 엔터프라이즈 리눅스(RHEL), 센트OS 인스턴스가 취약할 수 있어 패치가 필요하다. 구글의 HTTP 전송 프로토콜인 'SPDY'도 취약할 수 있기 때문에 패치가 이뤄진 SPDY를 활용해야 한다. 아파치 모듈은 SPDY 프로토콜을 지원한다.

랙스페이스 역시 관련 패치를 적용 중이다. 자사 서비스 고객들이 사용하는 서버에 접속을 허용하는 경우에 한해 패치를 진행하고 있다.

시스코, 주니퍼 네트웍스 등 글로벌 네트워크 장비 회사들도 일부 장비가 영향을 받은 것으로 나타났다. 시스코는 자사 웹사이트에 오픈SSL을 적용한 여러 대의 제품이 영향을 받았다며 관련 패치를 적용할 것을 당부했다. 이 회사는 통합커뮤니케이션매니저(UCM) 10.0, MS200X 이더넷 액세스 스위치, IP폰 관련 장비 등 총 65종의 장비가 취약하거나 영향을 받을 수 있다고 공지했다.

관련기사

주니퍼 역시 자사 웹사이트에 '높은 경보(High Alert)'라고 표시하면서 하트블리드에 대한 간략한 설명을 적고 있다.

국내 보안전문가들에 따르면 오픈SSL을 적용해 암호화 통신을 하는 리눅스 계열 서버인 아파치, 엔진엑스 등 사용자들과 함께 이메일 전송은 물론 가상사설망(VPN)에도 활용되고 있어 패치를 적용해야 한다.