서버·네트워크 업계, 하트블리드 대응에 분주

일반입력 :2014/04/15 09:54

클라우드, 운영체제(OS) 업체에 이어 서버 및 네트워크 장비 제조사들이 오픈SSL 암호화프로토콜의 보안 문제에 따른 파장을 수습하기 위해 분주하다.

14일(현지시각) 외신 보도에 따르면 일명 '하트블리드(Heartbleed)' 버그로 인한 사용자 피해를 막기 위해 HP, 델, IBM, 시스코시스템즈, 주니퍼네트워크 등이 문제가 될 수 있는 제품 목록을 제공하면서 패치를 내놓고 있다.

하트블리드 버그는 암호화 프로토콜 오픈SSL의 1.0.1과 1.0.2 베타 버전에서 나타났다. 오픈SSL을 사용하는 웹서버에 사용자가 정보를 요청하면 보호돼야 할 메모리 영역 데이터가 최대 64KB까지 노출될 수 있다. 이걸로 '비밀키' 값을 알아낸 공격자에게 저장 중인 정보를 모두 유출당하거나 변조당할 위험이 있다.

크고 작은 클라우드 및 인터넷서비스 업체들은 오픈소스 운영체제(OS)인 리눅스 계열 서버를 사용 중이다. 그런만큼, 오픈소스인 오픈SSL로 인증을 구현한 경우가 많다. 또 취약점이 알려지기 전까지 최신 오픈SSL 1.0.1과 1.0.2 베타를 사용한 광범위한 서비스가 위험에 노출돼 있었다는 지적이다.하트블리드 버그에 대한 해법은 이미 존재한다. 새 버전인 오픈SSL 1.0.1g로 패치하면 된다. 앞서 마이크로소프트(MS), 아마존웹서비스(AWS), 구글 등 클라우드 서비스업체들은 공지를 통해 서비스형인프라(IaaS)의 리눅스 가상머신(VM) 사용과 관련된 문제의 위험성과 해법을 안내하고 있다.

하드웨어 제조사들의 대응은 좀 다른 모양새다. IT미디어 PC월드는 HP, 델, IBM같은 회사가 하트블리드에 영향을 받는 하드웨어 및 소프트웨어를 정의하고 구버전에 의존한 제품 패치 행진을 벌이고 있다고 전했다.

최근 HP 블레이드시스템, IBM AIX서버, 델 어플라이언스와 네트워크 장비에 대한 펌웨어 및 소프트웨어 패치가 공개됐다. HP는 제품을 사용중인 고객들에게 보안취약점의 노출여부를 염두에 두고 하이퍼바이저와 운영체제(OS) 그리고 미들웨어를 점검하도록 당부했다.

이위크는 시스코와 주니퍼 역시 하트블리드 버그에 맞서 네트워크 장비를 보호하기 위해 애쓰고 있다고 전했다.

관련기사

보도에 따르면 현재까지 확인된 하트블리드 버그로 인한 취약점을 가진 시스코 장비 목록은 80종을 넘겼다. 하트블리드 버그로 인한 취약점이 우려되는 시스코 제품은 인터넷주소를 사용하는 전화기와 모바일 기기, 통합커뮤니케이션(UC) 도구인 웹엑스, 텔레프레즌스 화상회의 시스템 등이다. 회사는 스위치, 라우터, 방화벽, 미디어플레이어, 무선랜 제품 등에 문제 소지가 있는지 계속 조사 중이다.

주니퍼 쪽에서 하트블리드 버그로 인한 보안상 우려가 있다고 지목한 제품 목록의 수는 상대적으로 적은 9종이다. 여기에는 주노스 기반 네트워크 장비와 '주노스 펄스' 보안 소프트웨어의 일부 버전이 포함돼 있다. 회사측은 지속적인 제품 패치를 내놓겠다고 밝히고 있다.