Çѱ¹ÀÎÅͳÝÁøÈï¿ø(KISA, ¿øÀå ¹é±â½Â)°ú ¹Ì·¡Ã¢Á¶°úÇкδ 3ÀÏ À¥ºê¶ó¿ìÀú¿Í ¼¹ö °£ Åë½ÅÀ» ¾ÏÈ£ÈÇÏ´Â ¿ÀǼҽº ¶óÀ̺귯¸®ÀÎ '¿ÀÇÂSSL(OpenSSL)'¿¡ ´ëÇÑ ½É°¢ÇÑ Ãë¾àÁ¡ÀÌ ¹ß°ßµÆ´Ù¸ç Á¶¼ÓÈ÷ ¾÷µ¥ÀÌÆ®ÇÒ °ÍÀ» À¥»çÀÌÆ® ¿î¿µÀڵ鿡°Ô ±Ç°íÇß´Ù.
SSLÀº ³×Æ®¿öÅ© µ¥ÀÌÅ͸¦ ¾ÏÈ£ÈÇϱâ À§ÇØ »ç¿ëÇÏ´Â Åë½Å±Ô°Ý(Protocol)À¸·Î ¿ÀÇÂSSLÀº À̸¦ ¿ÀǼҽº·Î °ø°³ÇÑ ÇüÅ´Ù.
DROWN(Decrypting RSA with Obsolete and Weakened eNcryption)À¸·Î ¸í¸íµÈ À̹ø Ãë¾àÁ¡À» ÇØÄ¿°¡ ¾Ç¿ëÇÒ °æ¿ì ¼¹ö·Î Àü¼ÛµÈ °³ÀÎÁ¤º¸, ºñ¹Ð¹øÈ£, Ä«µåÁ¤º¸ µîÀ» Å»ÃëÇÒ ¼ö ÀÖ¾î Å« ÇÇÇØ°¡ ¿ì·ÁµÈ´Ù.
°ø°ÝÀÚ°¡ Ãë¾àÇÑ SSLv2¸¦ »ç¿ëÇÏ´Â ¼¹ö¿¡ ¾Ç¼ºÆÐŶÀ» º¸³» ÀÎÁõ¼ Å°°ªÀ» ¾Ë¾Æ³»°í À̸¦ ÀÌ¿ëÇØ ¾ÏÈ£ÈµÈ Åë½Å ³»¿ëÀ» º¹È£ÈÇÏ¿© ÁÖ¿ä Á¤º¸¸¦ Å»ÃëÇÏ´Â Áß°£ÀÚ °ø°Ý(Man-in-the-Middle attack)¿¡ ¾Ç¿ëµÉ ¼ö ÀÖ´Ù.
º¸¾È ÆÐÄ¡´Â ¿ÀÇÂSSL ȨÆäÀÌÁö¿¡¼ ³»·Á ¹ÞÀ» ¼ö ÀÖÀ¸¸ç, 1.0.1 ¹öÀü »ç¿ëÀÚ´Â 1.0.1s ¹öÀüÀ¸·Î, 1.0.2 ¹öÀü »ç¿ëÀÚ´Â 1.0.2g ¹öÀüÀ¸·Î ¾÷µ¥ÀÌÆ® ÇØ¾ß ÇÑ´Ù. ÀÎÅͳÝÁøÈï¿øÀº ¿ÀÇÂSSLÀÌ °ø°³¿ë À¥¼¹ö ÇÁ·Î±×·¥ÀÎ ¾ÆÆÄÄ¡(Apache) ¶Ç´Â ¿£Áø¿¢½º(Nginx)¿Í ÇÔ²² »ç¿ëµÇ´Â °æ¿ì°¡ ¸¹¾Æ, À̸¦ »ç¿ëÇÏ´Â °æ¿ì ƯÈ÷ ¿ÀÇÂSSLÀÇ ¹öÀüÀ» È®ÀÎÇÏ°í Á¶Ä¡ÇØ¾ß ÇÑ´Ù°í °Á¶Çß´Ù.
ÀÎÅͳÝÁøÈï¿ø °ü°èÀÚ´Â "À̹ø Ãë¾àÁ¡Àº ÇØ¿Ü À¥»çÀÌÆ® »ó¿¡ °ø°Ý ±â¹ý°ú ±¹³» ´ë±â¾÷, Æ÷ÅÐ, ¾ð·Ð»ç, ¼îÇθô µîÀ» Æ÷ÇÔÇÑ Ãë¾àÇÑ »çÀÌÆ® ¸ñ·Ï±îÁö °ø°³µÇ¾î ÇÇÇØ ¹ß»ý°¡´É¼ºÀÌ ¸Å¿ì ³ôÀ¸¹Ç·Î, ¿ÀÇÂSSLÀ» »ç¿ëÇÏ´Â ±â¾÷À̳ª ±â°üÀº ¹Ýµå½Ã ÃֽŹöÀüÀ¸·Î Áï°¢ ¾÷µ¥ÀÌÆ®¸¦ Àû¿ëÇØ¾ß ÇÑ´Ù"°í ¸»Çß´Ù.
ÀÌÀç¿î±âÀÚ jwlee@dt.co.kr
SSLÀº ³×Æ®¿öÅ© µ¥ÀÌÅ͸¦ ¾ÏÈ£ÈÇϱâ À§ÇØ »ç¿ëÇÏ´Â Åë½Å±Ô°Ý(Protocol)À¸·Î ¿ÀÇÂSSLÀº À̸¦ ¿ÀǼҽº·Î °ø°³ÇÑ ÇüÅ´Ù.
DROWN(Decrypting RSA with Obsolete and Weakened eNcryption)À¸·Î ¸í¸íµÈ À̹ø Ãë¾àÁ¡À» ÇØÄ¿°¡ ¾Ç¿ëÇÒ °æ¿ì ¼¹ö·Î Àü¼ÛµÈ °³ÀÎÁ¤º¸, ºñ¹Ð¹øÈ£, Ä«µåÁ¤º¸ µîÀ» Å»ÃëÇÒ ¼ö ÀÖ¾î Å« ÇÇÇØ°¡ ¿ì·ÁµÈ´Ù.
°ø°ÝÀÚ°¡ Ãë¾àÇÑ SSLv2¸¦ »ç¿ëÇÏ´Â ¼¹ö¿¡ ¾Ç¼ºÆÐŶÀ» º¸³» ÀÎÁõ¼ Å°°ªÀ» ¾Ë¾Æ³»°í À̸¦ ÀÌ¿ëÇØ ¾ÏÈ£ÈµÈ Åë½Å ³»¿ëÀ» º¹È£ÈÇÏ¿© ÁÖ¿ä Á¤º¸¸¦ Å»ÃëÇÏ´Â Áß°£ÀÚ °ø°Ý(Man-in-the-Middle attack)¿¡ ¾Ç¿ëµÉ ¼ö ÀÖ´Ù.
º¸¾È ÆÐÄ¡´Â ¿ÀÇÂSSL ȨÆäÀÌÁö¿¡¼ ³»·Á ¹ÞÀ» ¼ö ÀÖÀ¸¸ç, 1.0.1 ¹öÀü »ç¿ëÀÚ´Â 1.0.1s ¹öÀüÀ¸·Î, 1.0.2 ¹öÀü »ç¿ëÀÚ´Â 1.0.2g ¹öÀüÀ¸·Î ¾÷µ¥ÀÌÆ® ÇØ¾ß ÇÑ´Ù. ÀÎÅͳÝÁøÈï¿øÀº ¿ÀÇÂSSLÀÌ °ø°³¿ë À¥¼¹ö ÇÁ·Î±×·¥ÀÎ ¾ÆÆÄÄ¡(Apache) ¶Ç´Â ¿£Áø¿¢½º(Nginx)¿Í ÇÔ²² »ç¿ëµÇ´Â °æ¿ì°¡ ¸¹¾Æ, À̸¦ »ç¿ëÇÏ´Â °æ¿ì ƯÈ÷ ¿ÀÇÂSSLÀÇ ¹öÀüÀ» È®ÀÎÇÏ°í Á¶Ä¡ÇØ¾ß ÇÑ´Ù°í °Á¶Çß´Ù.
ÀÎÅͳÝÁøÈï¿ø °ü°èÀÚ´Â "À̹ø Ãë¾àÁ¡Àº ÇØ¿Ü À¥»çÀÌÆ® »ó¿¡ °ø°Ý ±â¹ý°ú ±¹³» ´ë±â¾÷, Æ÷ÅÐ, ¾ð·Ð»ç, ¼îÇθô µîÀ» Æ÷ÇÔÇÑ Ãë¾àÇÑ »çÀÌÆ® ¸ñ·Ï±îÁö °ø°³µÇ¾î ÇÇÇØ ¹ß»ý°¡´É¼ºÀÌ ¸Å¿ì ³ôÀ¸¹Ç·Î, ¿ÀÇÂSSLÀ» »ç¿ëÇÏ´Â ±â¾÷À̳ª ±â°üÀº ¹Ýµå½Ã ÃֽŹöÀüÀ¸·Î Áï°¢ ¾÷µ¥ÀÌÆ®¸¦ Àû¿ëÇØ¾ß ÇÑ´Ù"°í ¸»Çß´Ù.
ÀÌÀç¿î±âÀÚ jwlee@dt.co.kr
[ ÀúÀÛ±ÇÀÚ ¨ÏµðÁöÅПÀÓ½º, ¹«´Ü ÀüÀç ¹× Àç¹èÆ÷ ±ÝÁö ]