패치 완료 전까지 크롬, 파이어폭스 등 브라우저 사용해야

[보안뉴스 민세아] 얼마 전 우리나라를 떠들썩하게 만들었던 하트블리드(Open SSL) 취약점의 여운이 채 가시기도 전에 새로운 SSL 취약점이 발견되어 사용자들의 보안 우려가 높아지고 있다.

프랑스 국립 연구소(INRIA) 및 MS사에서는 SSL을 통해 강제로 취약한 RSA로 다운 그레이드 시킬 수 있는 취약점(CVE-2015-0204)을 발견했다.

해당 취약점은 OpenSSL s3_clnt.c의 ssl3_get_key exchange 함수에서 발생하는 취약점으로, 공격자가 중간자 공격(MITM Attack)을 통해 512비트 RSA로 다운 그레이드시켜 정보를 유출시킬 수 있는 취약점이다.

서버 운영자의 경우 해당 취약점을 해결하기 위해서는 OpenSSL 1.0.2 버전으로 업그레이드(http://www.openssl.org/source/)하면 된다.

사파리 및 안드로이드 기본 브라우저를 사용하는 일반 사용자는 애플, 구글사에서 취약점을 해결하기 전까지 크롬, 파이어폭스 등 타 브라우저를 사용해야 한다. 현재 애플과 구글사에서 해당 취약점에 대한 패치를 개발 중이다.

이와 관련한 기타 문의사항은 아래의 참고사이트를 확인하거나 한국인터넷진흥원 인터넷침해대응센터(118)로 문의하면 된다.

[용어 설명]

RSA(Rivest Shamir Adleman) : 전자상거래 등에 광범위하게 이용되는 인터넷 암호화 및 인증을 위한 암호기술의 한 종류

OpenSSL : SSL/TLS를 구현할 때 사용하는 오픈 소스 라이브러리

SSL/TLS : 인터넷 서비스에서 데이터를 안전하게 송수신하기 위한 프로토콜

[참고사이트]

1. http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0204

[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>