SSL/TLS 구축해 주는 오픈소스 라이브러리에서 발견된 고위험군 취약점

요약 : 보안 외신 시큐리티위크에 의하면 오픈SSL(OpenSSL)이 최근 발견된 고위험군 취약점 한 개를 패치했다고 한다. 이 취약점은 오픈SSL 3.0.4 버전에서 발견된 것으로 CVE-2022-2274라고 하며, 메모리 변형을 유발시켜 원격 코드 실행 공격을 가능하게 해 주는 오류였다. 오픈SSL 3.0.5 버전으로 업데이트를 할 경우 취약점이 사라진다. 오픈SSL 1.1.1과 1.0.2 버전들에는 처음부터 이 취약점이 존재하지 않았었다.


배경 : 오픈SSL은 SSL/TLS 프로토콜을 간편하게 구축할 수 있게 해 주는 오픈소스 라이브러리로, 각종 서버 사이드 장비들에 설치되어 있다. 디지털 통신을 안전하게 지켜주는 기본 방어 장치 중 하나라고 볼 수 있다. 따라서 여기서 발견된 취약점은 공격자들의 집중 공략을 받곤 한다.

말말말 : “2048 비트 RSA 비밀 키가 사용되고 있으며, AVX512IFMA 인스트럭션을 지원하는 SSL/TLS 및 다른 유형의 서버들 모두 이번 취약점에 노출되어 있습니다.” -오픈SSL-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>