암호화 통신을 가능케 해 주는 TLS 프로토콜을 실제 구축할 때, 개발자들은 오픈SSL이라는 오픈소스를 주로 사용한다. 그런데 이 오픈SSL에서 고위험군 취약점이 2개 발견됐고, 패치됐다. 오픈SSL 1.1.1k로 업그레이드 해야 안전하다.

 


오픈소스 프로젝트 중 하나이며 인지도도 매우 높은 암호화 소프트웨어 라이브러리인 오픈SSL(OpenSSL)에서 보안 업데이트를 발표했다. 두 개의 취약점이 발견됐기 때문이다. 두 취약점 모두 고위험군으로 분류됐다.


 

[이미지 = utoimage]


오픈SSL은 인터넷 서버들과 클라이언트들(혹은 최종 사용자들) 사이에 오고 가는 데이터를 안전하게 지켜주는 프로토콜인 TLS를 안전하게 구현해 주는 소프트웨어 라이브러리로, TLS를 활용하는 서비스나 앱을 개발하려는 사람들은 오픈SSL을 도입함으로써 간편하게 암호화 기술을 활용할 수 있게 된다. 시간과 노력 모두가 절약되기 때문에 오픈SSL은 널리 사용되고 있다.

취약점 중 첫 번째 것은 CVE-2021-3449로, 일종의 서비스 마비를 야기하는 취약점이라고 한다. 즉, 공격자가 성공적으로 익스플로잇 할 경우 디도스 공격을 실시할 수 있는 것이다. 현존하는 거의 모든 오픈SSL 서버들을 마비시킬 수 있다고 보안 전문가 필리포 발소다(Filippo Valsorda)는 트위터를 통해 경고했다. 최초 핸드셰이크가 진행되는 동안 악의적으로 만들어진 재협상(renegotiation) 요청을 전송함으로써 익스플로잇 할 수 있다.

통신 회사 노키아(Nokia)의 전문가인 페테르 카스틀레(Peter Kastle)와 사무엘 사팔스키(Samuel Sapalski)가 픽스를 만들어 오픈SSL 측에 제공한 것으로 알려져 있다. 이들은 이 취약점을 널 포인터 역참조(NULL pointer dereference)라고 분류하고 있다.

두 번째 취약점은 CVE-2021-3450으로, TLS 인증서를 탐지 및 검사해서 올바른 CA가 서명하지 않은 인증서들을 거부할 수 있게 해 주는 기능을 마비시킨다고 한다. 즉 인증서를 우회할 수 있게 해 주는 취약점이라는 것이다. 코드 매개변수 내 X509_V_FLAG_X509_STRICT라는 플래그에서 발생한 취약점이다.

이 취약점을 처음 찾아낸 건 보안 업체 아카마이(Akamai)의 시앙 딩(Xiang Ding)이며, 오픈SSL에 보고한 건 같은 회사의 벤자민 카둑(Benjamin Kaduk)이라고 한다. 픽스를 개발한 것은 레드햇(Red Hat)의 토마스 므라즈(Thomas Mraz)다.  [기사 더보기]

 

 

[출처 : 보안뉴스(https://www.boannews.com/)]

[기자 : 문가용 기자(globoan@boannews.com)]