보안 서비스 공급업체 폰팩터(PhoneFactor)는 인터넷에서 많이 이용하고 있는 데이터 보안 프로토콜인 SSL의 심각한 취약점을 찾았다고 발표했다. 이 취약점은 인터넷표준 조사위원회(IETF)의 한 실무그룹이 지난 11월 4일(현지시간)에 발송한 메일링 리포트에서도 거론돼 이슈가 된 바 있다.

폰팩터의 발표에 따르면, 공격자는 SSL 인증 결함(Authentication gap)을 이용해 중간자 공격을 개시하고 인터넷에 있는 SSL 기반 서버 대다수에 악영향을 미친다고 전했다. 즉, 공격자는 이 취약점을 이용해 자신이 인증된 SSL 통신 경로에 들어가 명령을 실행하는 것. 더 큰 문제는 웹 서버와 웹 브라우저 양쪽에서 자신의 세션(session)에서 하이재킹 당했다는 걸 모른다는 점이다.

이 취약점은 SSL 프로토콜 표준(과거 전송층 보안, TLS로 알려짐)의 문제점에서 나온 것이다. 대다수 SSL 구현 시스템은 여러 취약점을 안고 있다. 따라서 온라인 뱅킹을 이용하는 사용자나 웹 서비스 기반 프로토콜을 사용하는 백오피스 시스템 그리고 일부 메일 서버, 데이터베이스 서버 등 non-HTTP 애플리케이션에서 영향 받을 수 있다.

스티브 디스펜사 폰팩터 CTO는 “이건 단순히 구현상의 결함이 아니라 프로토콜 취약점으로 널리 파급될 수 있어 SSL 라이브러리를 모두 패치해야 할 필요가 있으며 대다수 클라이언트나 서버 애플리케이션은 최소한 새로운 SSL 라이브러리를 제품에 포함시켜야 한다”며 “결국 대다수 사용자는 SSL 기반 소프트웨어를 모두 업데이트할 필요가 있다”고 덧붙였다.

이 문제를 해결하기 위해 폰팩터 팀은 취약점에 영향을 받는 공급업체 사람들을 주축으로 관련 표준 위원회 대표들과 함께 전담팀을 꾸렸다. 전담팀은 SSL 표준 문제를 해결하고 SSL 라이브러리를 패치하는 동시에 이 취약점 완화를 위한 권장 방법을 만들어내야 한다는데 의견을 같이 했다.

디스펜사는 “이번에 발견된 취약점은 단일 채널 인증 프로토콜에 더 큰 문제를 야기하고 있다”며 “이 취약점은 다른 여러 취약점에 비해 중요한 취약점이고 중간자 공격은 한동안 익히 알려진 위협이었다”고 밝혔다. 그는 또 “가능하면 대역외(out-of-band) 프로토콜을 염두에 둬야 이 공격의 위험성을 낮추는데 도움이 될 것”이라고 덧붙였다.