상위 50위 안에 드는 앱 절반 이상이 하트블리드 취약점 지녀

[보안뉴스 민세아] 안드로이드앱 상위 50위권중 절반 이상의 앱이 OpenSSL의 하트블리드(Heartbleed) 취약점을 지니고 있는 것으로 밝혀졌다.

80-90%의 앱들이 기존 라이브러리를 재사용하고 있으나 기존 라이브러리들은 하트블리드 취약점이 보완돼 있지 않다. 게다가 기존 버그 및 취약점이 그대로 사용돼 몇 년간 패치되지 않은 채 사용되고 있다.

또한 취약점이 발견된 app중 30%이상은 전송데이터 내 개인정보가 담긴 데이터를 암호화 없이 전송하고 있다.

네트워크 통신 과정에는 HeartBeat라는 과정이 있다. 심장이 두근거려야 숨쉬고 있다는 것을 확인하는 것과 같은 역할을 하는 과정이다. 이는 서버와 클라이언트 간 연결을 위해서 연결 지속 신호를 주고받는 것을 의미한다. 즉, 서버에게 신호를 보냈을 때 서버가 응답한다면 서버가 숨 쉬고 있다는 것을 확인하는 것인데, 이러한 HeartBeat의 기능을 역이용한 것이 Heartbleed 취약점이다.

이와 관련한 보다 자세한 사항은 한국인터넷진흥원 인터넷침해대응센터 홈페이지나 아래 출처를 참조하면 된다.

[출처]

1. http://abullseyeview.com/2014/06/web-safety-tips-whitehat-security-target/

2. http://blogsabo.ahnlab.com/1841

[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>