침해사고/위협동향

보안업체·국보연, 하트블리드로 진땀

이민형

[디지털데일리 이민형기자] 국내 보안업계와 국가보안기술연구소가 하트블리드 취약점(Heartbleed, CVE-2014-0160)으로 인해 진땀을 흘리고 있다.

18일 관련업계에 따르면 하트블리드에 영향을 받는 제품을 보유 중인 보안업체들이 취약점 탐지와 해소에 총력을 다하고 있다.

안랩, 시큐아이, 윈스, 지니네트웍스, 미라지웍스 등 국내 보안업체들이 하트블리드 취약점 해소와 더불어 공통평가기준(CC) 인증 형상변경 승인 업무도 함께 추진하고 있다. 국보연도 보안업체들의 제품 형상변경 승인 업무를 소화하기 위해 인력을 집중시키고 있는 상황이다.

안랩 관계자는 “외부로 공개할 수 없는 일부 제품군이 오픈SSL 라이브러리를 사용하고 있어 긴급 업데이트를 실시했다”며 “업데이트를 통해 제품의 소스코드가 변경됐으므로 CC인증 형상변경 절차도 함께 진행하고 있다”고 전했다.

하트블리드는 오픈SSL의 확장 규격인 하트비트(Heartbeat)가 클라이언트(웹브라우저)와 웹서버간의 데이터를 전송을 인증하지 않는 점 때문에 발생한 취약점이다. 이 데이터는 복호화된 상태로 메모리에 작성되며, 이에 대한 접근도 클라이언트에서 가능해진다는 점에서 치명적이다.

이를 악용하면 클라이언트에서 웹서버에 접근해 복호화된 데이터를 가로챌 수 있고, 더 나아가 인증서를 발급하는 비밀키까지 취득할 수 있게 된다. 비밀키를 취득하면 이후에 전송, 생성되는 모든 데이터에 대한 복호화도 가능해진다.

웹방화벽, 침입방지시스템(IPS), 가상사설망(VPN) 등의 보안솔루션들은 서버, 클라이언트와 TLS/SSL 통신을 할 때, 오픈SSL을 사용하는 경우가 많기 때문에 실질적인 위협에 처할 수 있다. 현재 보안업체들은 취약점에 영향을 받는 제품에 대한 패치를 제공하고 있다.

오픈SSL 업데이트만으로 보안업체의 업무가 끝나는 것은 아니다. CC인증을 받은 제품의 경우 소스코드가 한줄이라도 변경되면 이에 대한 형상변경 승인을 국보연으로부터 받아야 한다.

이를 준수하지 않고 업데이트만 진행할 경우 CC인증의 법적 효력이 박탈된다. 현재 대부분의 보안업체들은 선(先) 업데이트, 후(後) 형상평가 인증에 나선 상황이다.

원칙대로 하면 문제가 될 수 있으나 국보연에서도 사안이 급한만큼 긴급 업데이트 후 형상평가 인증을 허용하기로 했다.

국보연 관계자는 “하트블리드 취약점에 대한 업데이트로 형상변경을 신청하는 보안업체들이 급증하고 있다”며 “국보연은 보안업체와 사용자들이 피해를 입지 않도록 최대한 지원할 것”이라고 전했다.

<이민형 기자>kiku@ddaily.co.kr

이민형
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널