침해사고/위협동향

네트워크 장비 업계, 하트블리드 취약점 해소에 총력

디지털데일리 발행일 2014-04-10 09:27:19
이민형

[디지털데일리 이민형기자] 지난 7일(현지시각) 오픈SSL의 암호화를 무력화하는 하트블리드(Heartbleed, CVE-2014-0160) 취약점 등장으로 네트워크 장비 업계가 바빠졌다.

9일(현지시각) 시스코, 주니퍼네트웍스, IBM, 아루바네트웍스, 워치가드, 체크포인트 등 글로벌 네트워크 장비업체들이 하트블리드 취약점 해소를 위해 대대적인 제품 점검, 긴급 업데이트 제공 등에 나섰다.

하트블리드는 오픈SSL의 확장 규격인 하트비트(Heartbeat)가 클라이언트(웹브라우저)와 웹서버간의 데이터를 전송을 인증하지 않는 점 때문에 발생한 취약점이다. 이 데이터는 복호화된 상태로 메모리에 작성(덤프)되며, 이에 대한 접근도 클라이언트에서 가능해진다.

이를 악용하면 클라이언트에서 웹서버에 접근해 복호화된 데이터를 가로챌 수 있고, 더 나아가 X.509 비밀키까지 취득할 수 있게 된다. 비밀키를 취득하면 이후에 전송, 생성되는 모든 데이터에 대한 복호화도 가능해진다.

현재 시스코, 주니퍼네트웍스, IBM 등은 하트블리드 취약점을 ‘높은 위협(High Risk)’로 설정하고 대응에 나서고 있다. 오픈SSL은 웹서버뿐만 아니라 소프트웨어나 어플라이언스에도 라이브러리의 형태로 적용된 경우가 많기 때문이다.

현재 취약점에 영향을 받는 제품은 시스코의 애니커넥트(iOS), 텔레프레전스(VCS), 아루바네트웍스의 클리어패스, 아루바OS, 체크포인트의 모바일VPN, 워치가드의 XTM시리즈 등이다. 이들 업체들은 현지시각 10일까지 이에 대한 긴급 업데이트를 실시할 계획이다.

IBM과 주니퍼네트웍스, 노벨 등도 오픈SSL 라이브러리를 채택한 제품에 대해 긴급 진단에 착수했으며, 레드햇, 오픈수세(OpenSUSE) 등 오픈소스 프로젝트팀들도 긴급 보완에 나선 상황이다.

보안업계 관계자는 “오픈SSL은 웹에서만 쓰이는게 아니라 SSL-VPN, 모바일, 어플라이언스 등 보안솔루션에 대부분 해당되기 때문에 국내 보안업체들도 긴급점검에 나서야 할 것”이라고 강조했다.

<이민형 기자>kiku@ddaily.co.kr

Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
이민형
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기

이 기사와 관련된 기사

디지털데일리가 직접 편집한 뉴스 채널

당신이 좋아할 만한 뉴스

많이 본 기사

연재기사

실시간 추천 뉴스