• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

예고됐던 오픈SSL 취약점, 다행히 하트블리드까지는 아니야 2022.11.02

드디어 오픈SSL 프로젝트가 지난 주부터 예고했던 취약점의 정체가 드러났다. 주말 사이에 취약점은 하나가 더 늘어났다. 대신 원래 예고됐던 초고위험도 취약점은 고위험군으로 한 단계 격하됐다.

[보안뉴스 문가용 기자] 지난 주부터 예고됐던 오픈SSL(OpenSSL) 취약점에 대한 정보와 패치가 드디어 공개됐다. 다행히 위험도 측면에서 문제의 취약점은 초고위험군에서 고위험군으로 한 단계 낮춰졌다. 그렇다고 위협 요인이 아니라는 건 아니다. 여전히 필요한 곳에서는 패치 적용이 빠르게 이뤄져야 한다. 

[이미지 = utoimage]


패치해야 할 취약점은 총 2개이며 오픈SSL 3.0.0~3.0.6 버전 내에 존재하는 것으로 밝혀졌다. 일종의 버퍼 오버플로우 유형의 취약점이라고 한다. 패치가 완료된 버전은 3.0.7이다. 둘 중 하나인 CVE-2022-3602가 지난 주 ‘초고위험도 취약점’이라는 경고가 나왔었던 것으로, 보안 업계는 ‘하트블리드(Heartbleed) 사태가 다시 벌어질 지도 모른다’며 불안해 했었다. 다행히 그 정도까지의 사안은 아닌 것으로 보이며, 오픈SSL은 “별도로 취약점 분석을 진행했던 여러 조직들과 전문가들의 피드백을 반영하여 위험도를 낮췄다”고 밝혔다. 

버퍼 오버플로우 취약점 2개
초고위험도 취약점이라는 등급이 제일 먼저 부여된 것은 CVE-2022-3602가 실제로 원격 코드 실행 공격을 가능하게 하기 때문이다. 다만 그렇게 되려면 특정 조건들이 맞물려야 한다. 그렇다는 건 위험을 완화시킬 방법들이 있다는 것이다. 따라서 오픈SSL 3.0.0~3.0.6 버전을 사용하고 있더라도 위험하지 않은 시스템들이 존재했다. 이런 피드백이 오픈SSL 프로젝트 쪽으로 주말 동안 전달됐고, 이 때문에 위험 수위가 낮아진 것이라고 한다. 

보안 업체 센시스(Censys)의 수석 보안 연구원인 마크 엘지(Mark Ellzey)는 “현재 시점에는 오픈SSL 3.0.0~3.0.6 버전을 지원하는 브라우저들에만 영향이 있는 것으로 분석이 되고 있다”고 설명한다. “파이어폭스와 인터넷 익스플로러가 대표적이죠. 구글 크롬에는 영향이 전혀 없고요. 그렇기 때문에 파급력이 대단히 높은 취약점이라고 하기에는 조금 애매한 감이 있습니다.”

게다가 익스플로잇 난이도도 무척 높은 것으로 판명이 났다. “공격을 성공시키려면 굉장히 제한적인 조건 안에서 복잡한 과정을 순서대로 밟아야 합니다. 공격 가능성이 매우 낮습니다. 계속해서 일반적인 피싱 공격에 대한 방어 훈련을 이어가고, 위협 첩보를 꾸준히 분석함으로써 수상한 현상들을 탐지하는 것으로 충분합니다. 또한 사건 대응력을 강화하면 더 도움이 되지요.”

보안 업체 사이코드(Cycode)의 수석 분석가 알렉스 일가예프(Alex Ilgayev)는 “심지어 이 취약점은 일부 리눅스 배포판에서는 아예 익스플로잇이 불가능하며,  현대화 된 여러 OS 플랫폼들에는 이미 스택 오버플로우 방어 장치들이 갖춰져 있어 사실상 익스플로잇 할 수 없다고 봐야 한다”고 설명했다.

이번에 패치된 두 번째 취약점인 CVE-2022-3786은 역시 고위험군인데, 미리 패치가 예고되지는 않았었다. 위의 CVE-2022-3602에 대한 패치가 개발되는 과정 중에 추가로 발견된 것이기 때문이다. 이 취약점의 경우 익스플로잇에 성공했을 때 디도스 공격을 할 수 있게 된다. 둘 다 버퍼 오버플로우이긴 하지만 하나는 원격 코드 실행을, 다른 하나는 디도스 공격을 가능하게 한다는 것이다. 

두 취약점 모두 국제화 된 도메인 이름을 인코딩 하는 데 사용되는 퓨니코드(Punycode)와 관련이 있다고 오픈SSL 프로젝트는 공개했다. 그러면서 “오픈SSL 3.0.0~3.0.6 버전의 사용자들의 경우, 3.0.7 버전으로 업그레이드 하기를 권장한다”고 촉구하기도 했다. 

하트블리드는 아니야
CVE-2014-0160이라는 번호가 붙은 취약점 하트블리드는 오픈SSL에서 나온 최초이자 유일한 초고위험도 취약점이다. 그랬기 때문에 지난 주 오픈SSL 프로젝트에서 또 다른 초고위험도 취약점이 나타났다고 발표했을 때 보안 업계가 자동 반사적으로 하트블리드를 떠올린 것이다. 당시 하트블리드는 인터넷 전반에 걸쳐 높은 파급력을 자랑했고, 많은 업체들의 온라인 서비스에 문제가 생겼었다. 심지어 아직도 하트블리드 취약점이 다 해결됐다고 말하기 힘들다는 게 보안 전문가들의 의견이다.

“하트블리드의 경우 취약한 버전의 오픈SSL이 사용되고 있는 모든 소프트웨어는 빠짐없이 공격에 노출됐습니다. 게다가 익스플로잇 난이도는 또 얼마나 낮았는지 모르겠습니다. 공격자들은 상당히 간단하게 서버 메모리 안에 저장되어 있는 암호화 키와 비밀번호를 훔쳐갈 수 있었습니다.” 보안 업체 시놉시스(Synopsys)의 글로벌 연구 책임자 조나단 크누센(Jonathan Knudsen)의 설명이다. “이번에 공개된 취약점도 충분히 심각하나, 하트블리드에 비교할 정도는 아닙니다.”

3줄 요약
1. 오픈SSL의 사상 두 번째 초고위험도 취약점, 오늘 공개됨.
2. 하지만 추가 연구 결과 초고위험도가 아니라 고위험도 취약점이었음.
3. 위험한 건 여전하지만 하트블리드 사태까지 흘러갈 가능성은 낮음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>