2014. 4. 24. 13:35

하트블리드 후폭풍, 대안으로 '리브레 SSL' 주목

처음에 하트블리드라고 하길래 '이게 뭔고?' 했더니 `심장출혈`이로군요.

오픈 SSL에서 발견된 '하트 블리드(HEART BLEED)' 취약점에 대한 대체재로 또 다른 오픈소스 개발 진영인 오픈 BSD가 고안한 '리브레 SSL(Libre SSL)'이 주목받고 있습니다.

오픈 SSL은 인터넷 상에서 가장 널리 쓰이고 있는 암호화 통신(SSL/TLS) 라이브러리이지만 최근 발견된 하트 블리드 취약점으로 인해 개발자들 사이에 가장 위험한 기술이 될 수도 있다는 인식을 가지게 되었는데 이 취약점은 클라이언트-서버 간 오픈 SSL을 활용한 암호화 통신이 제대로 작동하는지 확인하기 위해 사용되는 '하트 비트(HEART BEAT)' 프로토콜 개발자의 단순한 코드작성 오류에서 비롯됐습니다.



이를 두고 일부 다른 오픈소스 개발자들 사이에는 오픈 SSL이 그동안 부정확하고 이해하기 어려운 문서화 작업을 해와서 문제를 키웠다는 지적이 나오고 있습니다. 이에 따라 대체재로 거론되고 있는 리브레 SSL은 오픈 SSL과 비교해 방대한 양의 소스코드를 제거해 단순화한 관계로 리브레 SSL에서는 이해하기 쉬우면서 간결한 코드를 사용해 문제점 역시 빠르게 파악해 대응할 수 있도록 했다는 설명입니다.

외신에 따르면 오픈 BSD 및 오픈 SSH 프로젝트를 이끌고 있는 핵심 개발자인 데오 드 라트는 리브레 SSL 프로젝트에 대해 "(프로젝트에 사용된) C코드 중 9만 라인, 콘텐트 중 15만 라인을 삭제했다"고 말했습니다.

원문 - http://www.zdnet.co.kr/news/news_view.asp?artice_id=20140422094338