구글 소속 연구원들이 지금도 널리 사용되는 SSL 3.0 웹 암호화 기술에 있는 보안 취약점을 찾아 공개했다.
지난 4월 IT업계를 들썩거리게한 '하트블리드'나 최근 이슈가 된 셸쇼크 취약점과 비교하면 상대적으로 덜 위험하다는 평가다. 그래도 사용자 브라우저에서 쿠키 정보 등을 빼낼 수 있는 공격으로 이어질 수 있는 만큼 주의가 요망된다.
14일(현지시각) 구글에 따르면 이번에 발견된 SSL 3.0 취약점은 해커들로 하여금 푸들(Padding Oracle On Downloaded Legacy Encryption: Poodle) 공격으로 쿠키나 HTTP 인증 헤더 콘텐츠같은 정보를 훔칠 수 있게 해준다.나온지 18년된 SSL3.0 기술은 여전히 많은 웹브라우저와 웹사이트들에서 사용되고 있다. TLS(Transport Layer Security) 1.0, TLS1.1, TLS1.2와 같은 기술도 대체되고 있다 하지만 이들 기술 역시 SSL3.0과 하위 호환성을 갖고 있어 안심할 수 없다는 지적이다.
관련기사
- 하트블리드보다 위험한 배시 취약점 '비상'2014.10.15
- 美병원 노린 개인정보유출에 '하트블리드' 악용2014.10.15
- 세계 대기업 3%만 하트블리드 완전해결2014.10.15
- 제2 하트블리드 없다, 오픈SSL 새 로드맵 공개2014.10.15
이번에 발견된 취약점에 따른 사고를 막으려면 SSL3.0 기술을 서버나 브라우저에서 꺼둘 필요가 있다. 구글은 웹이나 SSH서버에서 TLS_FALLBACK_SCSV을 지원할 것을 주문했다.
그러나 이같은 작업은 일반 컴퓨터 사용자들에겐 어려운 작업일 수도 있다. 구형 웹브라우저나 웹서버와의 호환성 이슈가 발생할 수도 있다고 지디넷 등 외신들은 전했다.