[보안뉴스 문가용 기자] 오픈SSL 프로젝트(OpenSSL Project) 측에서 예고한 중요한 패치 일자가 일주일도 남지 않았다. 오픈SSL 3.0 및 후속 버전을 사용하고 있는 모든 조직들이 지금이라도 달력에 표시를 해야 할 만큼 중요한 일정이다. 통신 보호를 위해 사실상 거의 모든 곳에서 사용되는 것이 이 오픈SSL이기 때문이다.
[이미지 = utoimage]
오픈SSL 프로젝트가 새로운 버전(3.0.7)이 발표되는 건 11월 1일이 될 예정이다. 현재의 버전에서 취약점이 발견되었기 때문이다. 아직 취약점의 내용이 공개되지는 않았지만 익스플로잇이 될 경우 적잖은 문제가 발생할 수 있을 것이라고 한다. 이 취약점은 오픈SSL이 세상에 등장한 이후 두 번째로 발견되는 초고위험도 취약점이라고 한다.
대단히 큰 문제
OS 제조사, 소프트웨어 개발사, 이메일 제공 업체 등 다양한 IT 분야 기업들은 오픈SSL이 포함된 제품과 서비스를 시장에 내놓고 있는데, 11월 1일 이후 오픈SSL 패치를 적용한 업데이트를 발표할 것으로 예상된다. 그렇기 때문에 오픈SSL을 직접 다루고 있지 않은 소비자라 하더라도 11월 1일 이후에는 이런 저런 업데이트를 진행해야 할 것으로 보인다. 일반 기업과 정부 기관들의 경우 취약한 버전의 오픈SSL이 조직 내 어디선가 사용될 수 있음을 감안하여 11월 1일 전후로 꼼꼼한 검토를 해야 할 것이다.
오픈SSL에서 최초로 발견된 초고위험도 취약점은 지금까지도 유명한 하트블리드(Heartbleed) 취약점이다. 11월 1일에 공개될 취약점이 하트블리드와 같은 위험성과 파급력을 갖고 있는 것으로 밝혀질 경우, 거의 모든 산업에서 오픈SSL 패치 촉구의 목소리가 높아질 수 있다.
하트블리드 취약점인 CVE-2014-0160의 경우, 등록번호에서 알 수 있듯 2014년에 공개된 것으로 익스플로잇에 성공한 공격자는 피해자의 인터넷 통신 내용을 가로채고 도청할 수 있게 해 주었다. 2012년 3월에 나온 오픈SSL에서부터 2014년 하트블리드 발견 당시의 버전까지 전부 이 취약점의 영향을 받고 있었고, 이미 하트블리드가 있는 오픈SSL이 사용된 사례는 셀 수 없이 많았다. 사실상 전 세계의 모든 IT 기술과 플랫폼에 편만하게 퍼져 있었다고 보는 게 맞다. IT 업계 전체와 정부 기관들은 하트블리드가 발견된 직후 높은 수위의 비상 경보를 쉴 새 없이 발령했었다.
이번에 공개될 오픈SSL 취약점이 하트블리드와 같은 파급력을 가지게 될지, 산업 전반에서 하트블리드 때와 비슷한 반응이 나올지는 아직 아무도 알 수 없다. 하지만 이번 취약점 역시 초고위험도라고 하고, 그 때부터 지금까지 오픈SSL은 IT 기술 전반에 걸쳐 널리 사용되고 있다는 점에서 제2의 하트블리드 사태가 될 것이라고 예상하는 보안 전문가들이 적지 않다.
보안 담당자들은 충격에 대비해야
SANS 인스티튜트(SANS Institute)의 책임자인 요하네스 울리히(Johannes Ullrich)는 “이번에 공개될 취약점의 영향력이나 파급력에 대하여 미리 예상하기는 어렵지만 오픈SSL 프로젝트 측이 취약점에 ‘초고위험도’라는 평가를 쉽게 하는 부류가 아니라는 건 잘 알고 있다”고 말한다. 실제로 오픈SSL 프로젝트는 취약점이 익스플로잇 되었을 때 큰 피해를 안길 가능성이 높고 공략 난이도가 낮으며, 원격 공격을 가능하게 하는 취약점들만 위험군으로 분류하는 것으로 알려져 있다.
현재 널리 사용되고 있는 오픈SSL은 3.0 버전으로, 우분투 22.04 LTS, 맥OS 매버릭스, 맥OS 벤투라 등 여러 개의 OS에 도입되어 있다. 울리히는 리눅스 OS와 관련된 패치가 빠르게 나올 것으로 예상하고 있다. “하지만 준비는 지금부터 해야 합니다. 지금 어떤 시스템과 소프트웨어 등에서 오픈SSL 3.0이 사용되고 있는지 알아내는 것부터 해야 하죠. 오픈SSL 프로젝트가 11월 1일 패치 발표를 미리 예고한 것도 미리 준비하라는 뜻에서입니다. 주말 동안 어떤 곳에 패치가 필요한지 파악해 두는 것과 그렇지 않은 것에는 큰 차이가 있을 겁니다.”
보안 업체 소나타입(Sonatype)의 CTO인 브라이언 폭스(Brian Fox)도 여기에 동의한다. “오픈SSL은 너무나 널리 사용되는 요소입니다. 패치가 나올 때 가서 취약한 버전들을 찾으면 늦습니다. 생각지도 못한 장비와 소프트웨어, 서비스, 플랫폼에서 오픈SSL이 존재할 가능성이 높거든요. 급하게 찾다가는 다 찾지 못할 겁니다. 벤더나 서비스 제공 업체에 문의해야 할 부분도 분명히 있을 것이고요. 위험도가 높은 취약점을, 준비 기간도 충분히 줬는데 뒤늦게 대응하는 바람에 그대로 방치하게 된다는 건 보안 담당자로서 꽤나 무책임한 일입니다.”
그러면서 폭스는 “안전한 인터넷 통신이 필요한 모든 요소들에는 오픈SSL이 있을 것이라고 예상하고 찾아야 한다”고 귀띔한다. 소프트웨어만이 아니라 하드웨어들도 잘 살펴야 한다고 말하기도 했다. “일단 지금은 취약한 버전의 오픈SSL을 전부 찾아야 합니다. 그러고 나서는 해당 소프트웨어나 서비스, 장비 제공 업체들에 패치 일정과 방법을 문의해야 하겠지요. 한 마디로 11월 1일 전까지 가시성 확보를 부지런해 해야 한다는 뜻입니다.”
3줄 요약
1. 현대 IT 생태계에서 편만히 발견되는 오픈SSL 요소에서 초고위험도 취약점 나옴.
2. 오픈SSL 프로젝트 측도 이를 인지, 11월 1일에 패치 낼 예정.
3. 그 동안 취약한 오픈SSL 구성 요소들을 모조리 찾아내는 게 할 일.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>