한국인터넷진흥원(KISA·원장 백기승)은 웹브라우저와 서버 간 통신을 암호화하는 오픈소스 라이브러리 ‘OpenSSL’에 대한 심각한 취약점이 발견됐다며 3일 즉각 업데이트를 당부했다.
DROWN(Decrypting RSA with Obsolete and Weakened eNcryption)으로 명명된 이번 취약점은 해커가 악용할 경우 서버로 전송된 개인정보, 비밀번호, 카드정보 등을 탈취 가능하다.
공격자가 취약한 SSLv2를 사용하는 서버에 악성패킷을 보내 인증서 키값을 알아낸다. 키값을 이용해 암호화된 통신 내용을 복호화하고 주요 정보를 탈취하는 중간자 공격에 악용된다. 중간자 공격은 통신하는 두 당사자 사이에 끼어들어 교환하는 공개정보를 자기 것으로 교체한다. 들키지 않고 도청하거나 통신내용을 바꾸는 수법이다.
취약점을 조치하기 위해서는 OpenSSL 공식 홈페이지에서 지난 1일 배포한 최신 버전(OpenSSL 1.0.1s, OpenSSL 1.0.2g)으로 업데이트해야 한다. 공개용 웹서버 프로그램인 아파치 또는 엔진엑스와 함께 사용되는 경우가 많으므로 버전 확인 후 조치가 필요하다.
해외 웹사이트 상에 공격 기법과 국내 대기업, 포털, 언론사, 쇼핑몰 등을 포함한 취약한 사이트 목록까지 공개돼 피해 발생 가능성이 높다.
KISA는 “OpenSSL을 사용하는 기업이나 기관은 반드시 최신버전으로 즉각 업데이트를 적용해야 한다”고 말했다.
박정은기자 jepark@etnews.com
