리눅스 서버, 오픈SSL `하트블리드` 보안 취약점과 시놀로지의 업데이트 완료

오픈SSL(Secure Sockets Layer)은 웹 브라우저와 서버 간의 통신을 암호화하는 오픈소스 라이브러리로 현재 인터넷 서비스를 위한 대부분의 웹 서버 상에서 채택하고 있는 암호화 프로토콜인데 아파치, 엔진엑스(NGINX) 등 리눅스 기반 웹서버를 구축한 곳에 사용되는 암호화 통신을 훔쳐볼 수 있는 취약점이 발견돼 긴급히 패치가 필요한 상황이 발생했고, 국내에서도 아파치, 엔진엑스(NGINX) 등과 같은 리눅스 기반 웹서버를 사용하는 웹사이트들이 많은 만큼 주의가 요망됩니다.

미국 지디넷 등 외신에 따르면 해외에서는 이미 야후, 아마존웹서비스(AWS), 소셜데이팅서비스인 오큐피드 등이 이번에 발견된 취약점으로 직접적으로 영향을 받았고 리눅스 계열 운영체제(OS)인 센트OS, 데비안, 페도라, 레드햇, 오픈SUSE, 우분투 등도 위험에 노출될 수 있는 것으로 드러났습니다. 오픈소스 형태로 암호화 통신을 위해 사용되는 오픈SSL 프로토콜은 지난 2012년 3월 12일 공개된 1.0.1 버전이 전 세계 수백만개 웹사이트에 적용돼 있습니다.

문제가 된 취약점은 일명 '하트블리드(HEARTBLEED)'라고 불리는 것으로 공통취약점 항목에 'CVE-2014-0160'으로 분류됩니다. 이 취약점은 구글 보안팀 닐 메타 연구원과 보안회사 코데노미콘이 공동으로 발견했다. 해당 내용을 전달 받은 오픈SSL측은 현재 취약점을 제거한 버전인 오픈SSL 1.0.1g를 배포 중이라고 합니다. 오픈SSL에 따르면 이 취약점은 클라이언트(PC)와 서버 사이에 암호화 통신을 위해 사용되는 64킬로바이트(KB) 용량의 메모리를 해킹한다고 하네요.

 

본래 이 메모리 영역에는 웹서비스 사업자를 확인하고, 웹트래픽, ID 및 비밀번호, 콘텐츠를 암호화 하기 위해 사용되는 비밀키가 담겨 있어 유출될 경우 웹트래픽을 도청하고, 웹서비스 사용자들 사이를 오가는 데이터를 훔쳐내는 등 작업을 수행합니다. 하트블리드닷컴에 따르면 해당 웹서버를 사용하는 웹사이트들 중 약 3분의 2가 이 취약점에 노출된 것으로 추정되며 이 취약점을 통해 웹서비스 사업자를 확인하고, 웹트래픽, ID와 비밀번호, 실제 콘텐츠를 암호화 전송하기 위해 사용되는 비밀키가 유출될 수 있습니다.

이를 통해 공격자들은 웹트래픽을 도청하고, 웹서비스와 사용자 사이에 오가는 데이터를 훔쳐내는 등의 작업을 수행할 수 있는데 외신에 따르면 아마존은 하트블리드 취약점과 관련 자사에서 제공하고 있는 아마존웹서비스(AWS) 호스팅 인프라스트럭처에 대한 패치를 진행 중입니다. AWS에는 현재 오픈SSL을 활용해 수만명의 클라우드 고객들에게 서비스를 제공하고 있으며 아마존 측에서도 자사 클라우드 서비스 중 하나인 엘라스틱 로드 밸런서가 하트블리드의 영향을 받은 것으로 확인돼 US-EAST-1 데이터센터를 제외한 모든 지역에서 문제를 해결했다고 밝혔습니다. 자신이 운영하는 사이트가 하트블리드에 노출됐는지에 대해서는 조회용 웹사이트에서 확인해 볼 수 있습니다.

이와 관련하여 시놀로지(www.synology.com)가 오픈SSL의 보안 취약점 ‘하트블리드 버그’에 대한 해당 취약점을 해결하기 위해 DSM에 대한 긴급 최신 업데이트를 완료했다고 밝혔습니다. DSM 5.0의 사용자들은 보안 주의보(Security Advisory)에 명시된 가이드라인을 따라 현재 사용중인 DSM을 업데이트하고 SSL 인증을 갱신할 수 있으니 DSM의 구 버전(4.3)의 유저들에 대해 최신 버전인 DSM 5.0으로 업데이트할 것을 추천했습니다.

DSM 4.3버전을 유지하고자 하는 사용자의 경우, 관련 패치는 4월 말에 업데이트될 예정입니다. DSM 4.0 및 그 이전 버전은 해당 버그에 대한 영향이 없고, 현재 MyDS센터 서버는 패치가 작동 중이며 이에 따라 안전하게 사용할 수 있다고 밝혔지만 개인 정보를 보다 안전하게 보호하기 위해서는 암호를 변경하는 것을 권고했습니다.