[Security] 하트블리드(Heartbleed) 취약점 발생

최근 웹 브라우저와 서버 간의 통신을 암호화하는 오픈소스 라이브러리인 오픈SSL에서 하트블리드(Heartbleed)라는 심각한 보안 취약점이 발견되었다고 합니다. 핀란드 보안업체인 "코데노미콘"의 연구원들에 의해 최초로 알려진 하트블리드 버그가 ' 인터넷 역사상 최악의 버그'로 일컬여지고 있습니다.

하트블리드 취약점이란?

하트블리드는 인터넷의 핵심 암호화 기술로 활용되고 있는 오픈SSL의 심각한 취약점입니다. 오픈SSL은 많은 웹사이트를 비롯해 전자메일, 인스턴트 메시징 및 VPN과 같은 애플리케이션에서 사용되고 있습니다.

이 취약점이 악용되면 사용자의 개인정보, 비밀번호뿐만 아니라 웹서버의 암호키도 탈취될 수 있습니다. 이 취약점을 이용해 정보유출이나 해킹을 시도해도 흔적이 남지 않기 때문에 피해 여부를 알 수 없는 것도 문제입니다.

취약점이 발견된 오픈SSL 버전은 오픈SSL 1.0.1~1.0.1f, 오픈SSL 1.0.2-beta, 오픈SSL 1.0.2-beta1 입니다. 이 취약점을 해결하려면 오픈SSL 공식 홈페이지에서 배포된 오픈SSL 1.0.1g 버전으로 업데이트해야 합니다.

 

 

 

만약 취약한 OpenSSL 버전 설치 서버가 공격당한다면 인증 정보 등이 저장된 64Kbyte 크기의 메모리 데이터가 제한 없이 탈취될 수 있다. 해당 취약점은 허트비트(Heartbeat)라는 SSL 확장 프로토콜을 구현하는 과정에서 발생했으며, 2012년 3월부터 OpenSSL 1.0.1 버전에 구현됐다.

이를 해결하기 위해서는 OpenSSL 공식홈페이지(www.openssl.org)에 접속해 지난 4월 7일에 배포된 OpenSSL 1.0.1g 버전으로 업데이트를 해야 한다.

 

OpenSSL은 주로 공개용 웹서버 프로그램인 아파치(Apache) 또는 엔진엑스(Nginx)와 함께 사용되는 경우가 많아 이를 사용하는 경우 특히 OpenSSL의 버전을 확인하고 조치해야 한다.

만약 업데이트가 어려운 경우 ‘-DOPENSSL_NO_HEARTBEATS’ 옵션 설정 후 재컴파일해 heartbeat를 비활성화해야 한다.

 

 

참고 :

* Heartbleed 취약점 존재여부 테스트 사이트 : http://filippo.io/Heartbleed/
* 해당취약점 Exploit Code : http://www.exploit-db.com/exploits/32745/