네트워크 장비 업계, 하트블리드 취약점 해소에 총력
[디지털데일리 이민형기자] 지난 7일(현지시각) 오픈SSL의 암호화를 무력화하는 하트블리드(Heartbleed, CVE-2014-0160) 취약점 등장으로 네트워크 장비 업계가 바빠졌다.
9일(현지시각) 시스코, 주니퍼네트웍스, IBM, 아루바네트웍스, 워치가드, 체크포인트 등 글로벌 네트워크 장비업체들이 하트블리드 취약점 해소를 위해 대대적인 제품 점검, 긴급 업데이트 제공 등에 나섰다.
하트블리드는 오픈SSL의 확장 규격인 하트비트(Heartbeat)가 클라이언트(웹브라우저)와 웹서버간의 데이터를 전송을 인증하지 않는 점 때문에 발생한 취약점이다. 이 데이터는 복호화된 상태로 메모리에 작성(덤프)되며, 이에 대한 접근도 클라이언트에서 가능해진다.
이를 악용하면 클라이언트에서 웹서버에 접근해 복호화된 데이터를 가로챌 수 있고, 더 나아가 X.509 비밀키까지 취득할 수 있게 된다. 비밀키를 취득하면 이후에 전송, 생성되는 모든 데이터에 대한 복호화도 가능해진다.
현재 시스코, 주니퍼네트웍스, IBM 등은 하트블리드 취약점을 ‘높은 위협(High Risk)’로 설정하고 대응에 나서고 있다. 오픈SSL은 웹서버뿐만 아니라 소프트웨어나 어플라이언스에도 라이브러리의 형태로 적용된 경우가 많기 때문이다.
IBM과 주니퍼네트웍스, 노벨 등도 오픈SSL 라이브러리를 채택한 제품에 대해 긴급 진단에 착수했으며, 레드햇, 오픈수세(OpenSUSE) 등 오픈소스 프로젝트팀들도 긴급 보완에 나선 상황이다.
보안업계 관계자는 “오픈SSL은 웹에서만 쓰이는게 아니라 SSL-VPN, 모바일, 어플라이언스 등 보안솔루션에 대부분 해당되기 때문에 국내 보안업체들도 긴급점검에 나서야 할 것”이라고 강조했다.
<이민형 기자>kiku@ddaily.co.kr
北소행 사이버 공격은 티가 난다…'북한식 표현' 살펴보니
2025-04-04 08:08:33[단독] 유료방송 위기여파 PP로…“콘텐츠 사용료 약 1200억원 감소 전망”
2025-04-03 17:44:35문체부, 글로벌 무대에 'K-안무저작권 안내서' 알린다
2025-04-03 17:15:39[DD퇴근길] 5대 AI에게 물었다…"尹 탄핵심판 결과, 어떨 것 같니?"
2025-04-03 17:13:51