아마존이 그동안 하트블리드, 프릭 등 취약점으로 몸살을 앓았던 오픈SSL 대신 새로운 자체 암호화 통신 프로토콜인 '시그널 투 노이즈(Signal to noise, s2n)'을 도입한다.
스테판 슈미트 아마존 보안엔지니어링 담당 부사장은 "그동안 오픈SSL에서는 하트블리드, 프릭 등 취약점을 겪어왔다"며 "우리의 TLS(SSL3.0) 표준 적용을 단순화하고, 강력한 암호화 기술을 지원하기 위해 새로운 오픈소스 기반 TLS 프로토콜인 s2n을 선보이게 됐다"고 밝혔다.
이 암호화 통신 프로토콜은 단순함에 우선순위를 두고 용량이 작으면서도 빠르게 구동될 수 있도록 설계된 라이브러리다. 이를 위해 기존 오픈SSL에 적용됐던 사용하지 않는 옵션들을 피하고, 확장성을 고려했다. 해당 라이브러리는 소스코드가 약 6천줄 수준이다. 기존 오픈SSL의 경우 최소 7만줄에서 50만줄의 소스코드를 가졌다. 코드수를 줄여서 보안성에 취약할 수 있는 여지를 줄였다는 설명이다. 슈미트 부사장은 "코드 크기가 클수록 보안성, 성능, 효율성이 영향을 받는다"고 밝혔다.
아마존이 s2n을 적용한다고 해서 기존 여러 오픈SSL 프로토콜을 지원하지 않는 것은 아니다. 슈미트 부사장은 "아마존은 리눅스 재단의 코어 인프라스트럭처 이니셔티브를 통해 오픈SSL에 대해 지원하고 있다"고 말했다. 대신 s2n은 오픈SSL의 2가지 주요 라이브러리 중 'Libssl'만 사용하며, 'libcrypto'는 배제했다.
관련기사
- 크롬에만 은행사이트가 위험하다 뜨는 이유2015.07.01
- 오픈SSL 진영, 보안 업데이트 배포 시작2015.07.01
- 오픈SSL 진영, 하트블리드급 새 취약점 해결2015.07.01
- 18년된 SSL3.0 웹 암호화 기술서 취약점 발견2015.07.01
아직까지 s2n이 아마존웹서비스(AWS)와 같은 클라우드 서비스에까지 적용된 것은 아니지만 유통 분야에서 충분히 신뢰성을 검토한 뒤에 도입될 수 있을 것으로 전망된다.
관련된 보다 상세한 내역은 아파치 소프트웨어 라이선스2.0 정책에 따라 공개돼 있다.(관련링크)