인터넷진흥원, 오픈SSL 취약점 보안패치 설치 권고

입력: 2016-03-03 13:32 이재운 기자

폰트

한국인터넷진흥원(KISA, 원장 백기승)과 미래창조과학부는 3일 웹브라우저와 서버 간 통신을 암호화하는 오픈소스 라이브러리인 '오픈SSL(OpenSSL)'에 대한 심각한 취약점이 발견됐다며 조속히 업데이트할 것을 웹사이트 운영자들에게 권고했다.

SSL은 네트워크 데이터를 암호화하기 위해 사용하는 통신규격(Protocol)으로 오픈SSL은 이를 오픈소스로 공개한 형태다.

DROWN(Decrypting RSA with Obsolete and Weakened eNcryption)으로 명명된 이번 취약점을 해커가 악용할 경우 서버로 전송된 개인정보, 비밀번호, 카드정보 등을 탈취할 수 있어 큰 피해가 우려된다.

공격자가 취약한 SSLv2를 사용하는 서버에 악성패킷을 보내 인증서 키값을 알아내고 이를 이용해 암호화된 통신 내용을 복호화하여 주요 정보를 탈취하는 중간자 공격(Man-in-the-Middle attack)에 악용될 수 있다.

보안 패치는 오픈SSL 홈페이지에서 내려 받을 수 있으며, 1.0.1 버전 사용자는 1.0.1s 버전으로, 1.0.2 버전 사용자는 1.0.2g 버전으로 업데이트 해야 한다. 인터넷진흥원은 오픈SSL이 공개용 웹서버 프로그램인 아파치(Apache) 또는 엔진엑스(Nginx)와 함께 사용되는 경우가 많아, 이를 사용하는 경우 특히 오픈SSL의 버전을 확인하고 조치해야 한다고 강조했다.
인터넷진흥원 관계자는 "이번 취약점은 해외 웹사이트 상에 공격 기법과 국내 대기업, 포털, 언론사, 쇼핑몰 등을 포함한 취약한 사이트 목록까지 공개되어 피해 발생가능성이 매우 높으므로, 오픈SSL을 사용하는 기업이나 기관은 반드시 최신버전으로 즉각 업데이트를 적용해야 한다"고 말했다.

이재운기자 jwlee@dt.co.kr

서울특별시 중구 새문안로22
☎ 02) 3701-5500
등록번호 : 서울 아01699
등록일자 : 2011.07.15
발행일 : 2000.03.03
발행인/편집인 : 박학용

인터넷진흥원, 오픈SSL 취약점 보안패치 설치 권고

이 시간 핫클릭

핫 이슈!