셀룰러뉴스 봉충섭 기자 = 한국인터넷진흥원(KISA, 원장 백기승)과 미래창조과학부는 웹브라우저와 서버 간 통신을 암호화하는 오픈소스 라이브러리인 ‘OpenSSL’에 대한 심각한 취약점이 발견되어 즉각적인 업데이트를 당부했다.

※ SSL(Secure Socket Layer) : 네트워크 데이터를 암호화하기 위해 사용하는 프로토콜
※ OpenSSL : 네트워크를 통한 암호화 데이터 통신에 쓰이는 프로토콜의 오픈 소스 프로그램

DROWN(Decrypting RSA with Obsolete and Weakened eNcryption)으로 명명된 이번 취약점을 해커가 악용할 경우 서버로 전송된 개인정보, 비밀번호, 카드정보 등을 탈취할 수 있어 각별한 주의가 요구된다.

공격자가 취약한 SSLv2를 사용하는 서버에 악성패킷을 보내 인증서 키값을 알아내고 이 키값을 이용해 암호화된 통신 내용을 복호화하여 주요 정보를 탈취하는 중간자 공격(Man-in-the-Middle attack)에 악용될 수 있다.

※ 중간자 공격: 통신하는 두 당사자 사이에 끼어들어 당사자들이 교환하는 공개정보를 자기 것과 바꾸어버림으로써 들키지 않고 도청을 하거나 통신내용을 바꾸는 수법

해당 취약점을 조치하기 위해서는 OpenSSL 공식홈페이지(www.openssl.org)에서 지난 3월 1일에 배포한 OpenSSL 1.0.1s, OpenSSL 1.0.2g 버전으로 업데이트해야 한다. OpenSSL은 공개용 웹서버 프로그램인 아파치(Apache) 또는 엔진엑스(Nginx)와 함께 사용되는 경우가 많아, 이를 사용하는 경우 특히 OpenSSL의 버전을 확인하고 조치해야 한다.

※ OpenSSL 1.0.1 사용자: 1.0.1s로 업데이트, OpenSSL 1.0.2 사용자: 1.0.2g로 업데이트
특히, 이번 취약점은 해외 웹사이트 상에 공격 기법과 국내 대기업, 포털, 언론사, 쇼핑몰 등을 포함한 취약한 사이트 목록까지 공개되어 피해 발생가능성이 매우 높으므로, OpenSSL을 사용하는 기업이나 기관은 반드시 최신버전으로 즉각 업데이트를 적용해야한다.

이와 관련한 보다 자세한 사항은 보호나라(www.boho.or.kr) 보안공지에서 확인할 수 있으며, 118사이버민원센터(국번없이 118)로 문의하면 된다.