adsense_in_article_test


하트블리드(Heartbleed) 잡담 - 임베디드 리눅스는 어쩔 것인가; IT/잡담

지난 2월에 시끄러웠던 애플의 엄청난 SSL 보안취약점(일명 "goto fail 취약점")을 가뿐하게 능가하는 무지막지한 보안취약점이 발견되었구나;  2014년은 SSL 수난시대로군;

OpenSSL을 채용한 리눅스에 해당되는 문제인데, SSL 암호화통신에서 사용되는 heartbeat 신호를 변조해서 보내면 서버쪽의 내부 메모리에 저장된 내용을 64KB씩 유출시킬 수 있는 취약점이다. (자세한 내용은 이 영문기사를 참조하자.)  메모리의 내용을 계혹 조금씩 가져오면서 사용자 정보나 암호화에 사용되는 비밀키 등을 빼낼 수 있는 것이다.

심장박동(heartbeat)의 취약점을 이용해서 메모리 내용을 빼내니까 심장에서 출혈이 발생한다는 의미로 심장출혈(heartbleed)이라는 이름을 붙인 모양이다. 통신 과정에서 아무리 강력한 암호 알고리즘이 들어가도 서버 내부 매모리에 저장된 내용을 빼가면 이건 방법이 없다;;

워낙에 심각한 취약점이다 보니 구글, 야후를 비롯해서 해당 취약점에 영향을 받는 서버를 채택한 업체들은 열심히 패치를 한 모양이다. 해결 방법은 OpenSSL 1.0.1g로 업데이트하거나 또는 이전 버전 OpenSSL이라도 "OPENSSL_NO_HEARTBEATS" 플래그(flag)를 설정해서 다시 컴파일하면 된다고 하니, 서버 관리자가 제정신이라면 취약점을 그대로 방치하진 않을 것으로 보인다.

아무튼 여기까진 좋은데, 개인적으로 좀 걱정이 되는 부분이 하나 있구나; 바로 임베디드 리눅스(embedded linux) 기기들이다.

공유기, NAS, 각종 보안장비 등 임베디드 리눅스 장비들이 꽤 있는데 이건 어쩔 것인가 -_-; 기기의 SSL 기능이 OpenSSL인지 GNUTLS인지 확인이나 될려나 모르겠다; 서버들이야 시스템 관리자가 작업하면 되는데, 임베디드 리눅스 장비들은 결국 해당 제조업체가 펌웨어를 갱신하거나 패치를 제공하거나 해야 한다.

제조사에서 뭔가 조치를 취하기 전까지는 마음의 평화를 위해서 외부에서 접속할 수 있는 원격관리 기능을 다 꺼두는 것이 좋겠다.



덧글

댓글 입력 영역
* 비로그인 덧글의 IP 전체보기를 설정한 이글루입니다.



통계 위젯 (화이트)

548610
2806
2204631

2019 대표이글루_IT

B-Side