제로 데이 오픈 SSL 취약점 #heartbleed 수정되었지만, 당신의 서버는 정말로 취약점이 없는가? 지금 확인하세요

보안 연구원들이 OpenSSL이라는 암호화 소프트웨어 라이브러리에서 극히 중요한 고위험 결함을 발견했습니다. OpenSSL은 약 3분의 2의 웹 서버가 최종 사용자에게 자신을 식별하고 비밀번호, 은행 자격 증명 및 기타 민감한 데이터의 유출이나 도청을 방지하는 데 사용됩니다. 이 취약점을 악용할 수 있는 잠재적인 사이버 범죄자와 공격자는 서비스와 클라이언트 간에 전달되는 모든 데이터를 모니터링하거나 범죄 의도로 과거에 암호화된 데이터를 복호화할 수 있습니다. 많은 현대 운영 체제는 Debian Wheezy, Ubuntu 12.04.4 LTS, CentOS 6.5, Fedora 18, OpenBSD 5.3, FreeBSD 8.4, NetBSD 5.0.2 및 OpenSUSE 12.2를 포함한 취약한 버전의 Open SSL을 사용합니다. 또한, Apache와 nginx라는 가장 널리 사용되는 두 개의 웹 서버와 대부분의 이메일 서버 및 채팅 서비스, VPN 등이 이 코드 라이브러리를 사용합니다. 위의 내용 외에도 라우터 등과 같은 임베디드 리눅스를 사용하는 대부분의 장치도 이 취약점에 노출되어 있습니다.

2011년 12월부터 2년 동안 OpenSSL의 생산 버전에서 존재했던 결함은 해커/공격자가 디지털 인증서의 개인 암호화 키를 복구할 수 있음을 의미할 수 있습니다. 이는 서버와 최종 사용자 간에 이동하는 데이터를 인증하는 데 사용될 수 있으며, 사이버 범죄자가 이메일 ID, 비밀번호, 은행 사용자 이름 및 비밀번호 등 거의 모든 사용자 자격 증명을 쉽게 악용할 수 있게 합니다. 이 버그는 서버 로그에 공격의 흔적을 남기지 않아 아무도 자신의 서버가 손상되었는지 알 수 없었고, 최종 사용자도 신원 도용의 대상이 되었는지 알 수 없었습니다.

OpenSSL의 버그 발표는 Open SSL의 1.0.1g 버전 출시와 동시에 이루어졌습니다. 이 버그는 OpenSSL의 핵심에 있었음을 강조하기 위해 ‘Heartbleed’라는 별명을 붙였습니다. 두 가지 예외를 제외한 OpenSSL의 이전 버전인 1.0.1부터 1.0.1f까지는 여전히 취약합니다.

CDN 서비스 제공업체인 CloudFlare는 블로그에서 이 취약점에 대해 이미 알고 있었으며, 따라서 CloudFlare 지원 서버의 손상을 방지하기 위한 조치를 취했다고 밝혔습니다.

오늘 OpenSSL 1.0.1에서 새로운 취약점이 발표되었습니다. 이 취약점은 공격자가 연결된 클라이언트나 서버에 최대 64kB의 메모리를 노출할 수 있게 합니다 (CVE-2014-0160). 우리는 이 취약점을 공개되기 전에 지난주에 수정했습니다. SSL을 위해 CloudFlare를 사용하는 모든 사이트는 이 수정 사항을 받았으며 자동으로 보호됩니다.

보안 분석가인 Jared Stafford는 이 취약점을 테스트하기 위한 Python 코드를 공개했습니다. 아래에 Python Tester의 PDF 파일을 참조용으로 제공합니다.

또한 https://filippo.io/Heartbleed/를 방문하여 귀하의 서버가 이 제로 데이 버그에 취약한지 확인할 수 있습니다. 추가 정보는 Heartbleed와 관련된 Github 사이트를 방문하거나 heartbleed 사이트를 방문할 수 있습니다.

*업데이트: 취약점이 온라인에 공개되자마자 인터넷에서 유출이 시작되었습니다. Yahoo, Microsoft, Ubuntu, FBI, 은행 웹사이트, 정부 웹사이트 및 결제 게이트웨이를 포함한 수백 개의 상위 천 개 웹사이트가 취약한 것으로 나타났으며 해커들은 이미 많은 웹사이트에서 사용자 자격 증명을 공격하고 유출하기 시작했습니다.*

• eBay를 포함한 일부 다른 웹사이트는 신속하게 취약점을 수정하여 사용자 자격 증명의 유출을 방지했습니다. 여러 다른 웹사이트는 취약점을 수정하기 위해 다운되고 있으므로, 향후 몇 시간 내에 주요 웹사이트가 유지 보수를 위해 다운되는 것을 보더라도, 그들의 서버에서 유출이 온라인에 공개되기 전까지는 큰 문제가 아닙니다.
• 가장 안전한 방법은 시스템 관리자가 이를 수정할 때까지 Heartbleed에 취약한 온라인 서비스에 로그인하지 않는 것입니다.