[아이티투데이 성상훈 기자] 지난 4월 발견된 오픈SSL 취약점 '하트블리드'가 해결되지 않은 대형 사이트가 여전히 존재하는 것으로 나타났다.
17일 주요 외신은 미국 DB보안 솔루션 기업 퀄리스(Qualys)의 조사 자료를 인용해 이같이 보도했다.
오픈소스의 SSL / TLS 구현 라이브러리인 오픈SSL은 이달 초까지만해도 대부분 취약점이 해결된 것으로 보고됐다. 그러나 그동안 알려진 것보다 훨씬 치명적 취약점(CVE-2014-0224)이 존재하고 있다는 것이 퀄리스측 분석이다.
CVE-2014-0224취약점 악용시 클라이언트와 서버 사이의 트래픽이 해독될 수 있으며 마음먹은대로 변조될 가능성도 있다.
조사 결과에 따르면 대부분 웹 브라우저는 오픈SSL에 의존하지 않으며 브라우저 사용자의 대부분이 이 취약점의 영향을 받는다. 안드로이드 역시 마찬가지며 특히 오픈VPN과 같은 VPN 제품은 표적이 되기 쉽다.
CVE-2014-0224는 오픈SSL의 모든 버전에 존재한다. 클라이언트 측과 서버측이 모두 취약한 오픈SSL을 사용하고 서버 버전 1.0.1 이상이라면 이를 악용하기 수월해진다.
퀄리스는 이 문제에 대응하기 위해 HTTPS 지원 주요 사이트의 SSL 구현 강도를 모니터링 하는 'SSL 펄스 프로젝트'를 실시해 약 15만개의 사이트를 검사했다.
조사한 사이트들은 서버의 약 49%가 취약점이 존재하고 있었으며 이 중 14%는 CVE-2014-0224 취약점 악용이 가능한 1.0.1 시스템을 사용하고 있는 것으로 조사됐다.
퀄리스측은 "오픈SSL 0.9.x~1.0.0 를 사용하는 서버에 대해서도 현재 이 취약점이 악용 가능한지 여부는 조사중이지만 가능성은 충분히 있는 만큼 속히 업그레이드 해야 한다"고 권고했다.