11일 미국 IT보안교육기관 SANS(SysAdmin, Audit, Network and Security)의 인터넷 스톰 센터는(ISC) OpenSSL 보안패치를 가장해 최종 사용자에게 암호를 변경하라는 링크가 삽입된 e메일이 돌고 있다고 주의를 당부했다.
SANS측은 "진짜 OpenSSL 정규 메일에도 보안패치 링크가 게재되어 있는데 이것은 정말 '큰실수'" 라며 "이를 가장해 악성 코드를 삽입한 e메일이 급증하고 있다"고 전했다. 도움이 될 것 같은 링크 메일의 대부분은 도움이 되지 않는다며 절대로 링크를 클릭해서는 안된다는 것.
이 외에도 OpenSSL 취약점 우뮤를 확인할 수 있는 웹사이트로 가장해 악성 코드를 심어놓은 가짜 사이트의 출현도 예상되고 있으며 향후 대규모 정보 유출에 대한 가능성도 배제할 수 없다고 SANS는 지적했다.
이번 취약점은 공격을 받았다고 할지라도 로그 기록이 남지 않기에 정보 유출 여부를 확인할 수 있는 방법이 없다. 따라서 최악의 경우(비밀번호 유출)를 가정해 미리 비밀번호를 바꾸는 것도 효과적인 대책 중 하나다.
그러나 곧바로 비밀번호를 바꾸기보다는 신중히 기다려야 한다는 의견도 있다.
영국 보안 기업 소포스(Sophos)는 블로그를 통해 "서비스를 제공하는 웹사이트 업체가 취약점 대응이 완료되기 전에 이미 유출이 됐을 가능성도 생각해야 한다"며 "최종 사용자는 서비스 업체측에서 취약점 대응이 완료되고 공식발표가 끝난 뒤에 비밀번호를 바꿔도 늦지 않다"고 전했다.
제조사들 취약점 대응 나서
OpenSSL은 웹 서버와 VPN 통신을 위해 다양한 운영체제와 네트워크 장비에 사용되고 있다. 운영체제(OS), 클라우드 서비스, 네트워크 장비 중 일부는 취약한 OpenSSL을 사용하는 제품이 다수 확인되고 있어 각 제조사들은 이에 대한 대응에 나섰다.
미국 국토안보부 산하 보안대응팀 US-CERT에 따르면 현재 취약점 영향을 받고 있는 네트워크 장비 업체 및 운영체제는 VMware, 시스코, 포티넷, 주니퍼네트웍스, F5네트웍스, Aruba Networks, 워치가드테크놀로지, FreeBSD, NetBSD, 레드햇, 우분투, Android 등 국내에서도 익숙한 업체들이 다수 포함되어 있다.
공급 업체 및 OS 이름 | 영향을 받는 제품 또는 OS |
VMware | ESXi 5.5, vCenter Server 5.5, VMware Fusion 6.0.x |
시스코 | Cisco UCS B-Series, Cisco UCS C-Series, Cisco IOS XE |
포티넷 | FortiGate (FortiOS) 5.x |
주니퍼 네트웍스 | Junos OS 13.3R1 |
F5 네트웍스 | BIG-IP LTM 11.5.0 - 11.5.1, BIG-IP GTM 11.5.0 - 11.5.1 |
Aruba Networks | ArubaOS 6.3.x, 6.4.x |
워치가드 테크놀로지 | WatchGuard XTM 11.8.x |
FreeBSD | FreeBSD 10.0 |
NetBSD | NetBSD 6 |
레드햇 | Red Hat Enterprise Linux 6 |
우분투 | Ubuntu 13.10,12.10,12.04 LTS |
Android | Android 4.1.1 |
문제는 시스템 관리자는 관리중인 네트워크의 어떤 부분에서 OpenSSL 취약점이 존재하는지 즉각적으로 파악하기 어렵다고 한다. 따라서 최종 해결까지는 어느정도 시간이 걸릴 것으로 보인다.
앞서 발표된 OpenSSL 취약점은 '하트블리드(Heartbleed)'로 명명된 취약점이다. 여기서 OpenSSL은 데이터 통신을 위한 프로토콜인 SSL/TLS를 오픈소스화 한 것이다.
하트블리드는 SSL 통신중 메모리에 있는 데이터를 원격으로 읽는 취약점으로, 암호화 통신에 사용되는 비밀 키, 사용자 정보 등을 서버 프로세스 수준에서 읽어 내는 일종의 버그다.
SNS 기사보내기
관련기사
- 오픈SSL 심각한 취약점…당신의 스마트폰도...
- 애플,iOS 7.0.6 공개…SSL 보안 취약점 개선
- 포티넷, NEC에 포티클라이언트 SSL VPN 공급
- 주니퍼 네트웍스, SSL VPN 신제품 발표
- F5네트웍스의 SSL VPN 파이어패스, CC 인증 획득
- 워치가드, 보안과 이동성을 결합한 SSL VPN 전용장비 출시
- 파이오링크,오픈SSL 취약점 패치 긴급 업데이트
- 美 NSA,오픈SSL 이용해 2년간 정보수집
- NSA,"하트블리드 방치 보도는 사실 무근"
- 오픈SSL 취약점 이용, 첫 공격 사례 발생
- 미래부, 오픈SSL 취약점 대응 나섰다
- 모바일 쇼핑,신용카드 맘대로 못쓰겠네
- 상위100만개 사이트중 2% 여전히 오픈SSL 취약
- “모바일 때문에”…한국 직장인 90% 밖에서 업무수행
- 아파치 스트럿츠2 취약점 수정버전 27일 공개
- [창간7주년기획] 최강사이버수비대 총점검
- 오픈SSL 대체할 '리브리SSL' 주목
- 오픈SSL 취약점 해결된줄 알았더니 여전히...