2014.04.23

대부분의 사이트, 하트블리드 결함 해결

Gregg Keizer | Computerworld
전세계 웹 1000대 사이트는 자사의 서버들을 보호하기 위해 하트블리드(Heartbleed) 결함을 해결했지만 톱 100만 사이트 가운데 2%는 아직 문제를 해결하지 못하고 취약한 상태로 남아있다.

캘리포니아주 메니피에 소재한 수쿠리 시큐리티(Sucuri Security)는 알렉사 인터넷(Alexa Internet)에 의해 순위가 매겨진 전세계 톱 100만 웹사이트를 살펴본 결과다. 알렉사 인터넷은 웹 트래픽 데이터를 수집하는 아마존의 자회사다.
수쿠리 CTO 다니엘 시드는 "톱 1000대 웹사이트는 모두 최신의 오픈SSL(OpenSSL) 라이브러리로 패치했음을 확인했다"고 전했다.

오픈SSL 내에 결함을 지칭하는 하트블리드는 SSL(Secure Sockets Layer) 또는 TLS(Transport Security Layer) 암호화를 할 수 있는 오픈소스 암호 라이브러리 결함으로, 구글 보안 엔지니어 닐 메타와 보안업체인 코데노미콘 연구원들에 의해 각각 발견됐다.

이 버그는 2011년 말, 오픈SSL에 소개됐다.

오픈SSL이 웹사이트에서 광범위하게 사용하고 있기 때문에 많은 이들이 그들 서버와 고객 간 트래픽을 암호화하는 데 의존한다. 하트블리드 결함은 매우 은밀하게 악용할 수 있다.
보안전문가들은 사용자 이름, 비밀번호, 심지어 사이트 서버에 사용된 암호화 키마저도 캐낼 수 있어 사이버범죄가 있었거나 있을 수 있음을 우려했다.

오픈SSL 프로젝트는 지난 4월 7일 서버용 소프트웨어와 일부 클라이언트 운영체제에 대한 버그 패치를 발표했다. 열흘이 지난 4월 17일, 취약점을 가졌던 서버들은 대부분 패치했다.

수쿠리는 "알렉사에 등재되어 있는 톱 1000대 사이트 모두 패치를 완료했다. 하지만 해당 리스트를 좀더 넓게 파악해 본 결과, 여전히 취약점을 갖고 있는 사이트를 발견할 수 있었다"며, "톱 1만 개 사이트에서는 0.53%가, 10만 개에서는 1.5%, 그리고 100만 개 사이트에서는 2%의 사이트가 취약점을 패치하지 않았다"고 설명했다.

다른 조사에서도 유사한 통계가 나왔다. 미국 샌디에고 소재의 웹센스는 5만개 사이트 가운데 1.6%가 공격에 취약하다고 밝혔다.
보안 전문가들은 웹사이트 소유자들에게 새로운 SSL 인증과 키를 받기를 독촉했으며, 신중한 사용자라면 웹사이트에 접속할 때 경계를 늦추지 말 것을 충고했다.

수쿠리 측은 "이번 조사를 통해 사이트들이 새로운 인증 재발행 여부를 확인할 방법이 없었다"며, "이로 인해 웹을 통한 또하나의 혼란이 올 것이며, 점점더 결과는 나빠질 것이라고 예상한다"고 말했다.

여러 온라인 도구는 하트블리드 취약점 사이트를 보호해주는데, 보안 개발업체인 퀄리스가 제시한 것도 그 가운데 하나다.

퀄리스가 감지한 바에 따르면, 알렉사에 4만 9,000번째로 등재되어 있는 온라인 의류 사이트는 지난 21일까지 여전히 하트블리드 취약점을 갖고 있다. editor@itworld.co.kr


2014.04.23

대부분의 사이트, 하트블리드 결함 해결

Gregg Keizer | Computerworld
전세계 웹 1000대 사이트는 자사의 서버들을 보호하기 위해 하트블리드(Heartbleed) 결함을 해결했지만 톱 100만 사이트 가운데 2%는 아직 문제를 해결하지 못하고 취약한 상태로 남아있다.

캘리포니아주 메니피에 소재한 수쿠리 시큐리티(Sucuri Security)는 알렉사 인터넷(Alexa Internet)에 의해 순위가 매겨진 전세계 톱 100만 웹사이트를 살펴본 결과다. 알렉사 인터넷은 웹 트래픽 데이터를 수집하는 아마존의 자회사다.
수쿠리 CTO 다니엘 시드는 "톱 1000대 웹사이트는 모두 최신의 오픈SSL(OpenSSL) 라이브러리로 패치했음을 확인했다"고 전했다.

오픈SSL 내에 결함을 지칭하는 하트블리드는 SSL(Secure Sockets Layer) 또는 TLS(Transport Security Layer) 암호화를 할 수 있는 오픈소스 암호 라이브러리 결함으로, 구글 보안 엔지니어 닐 메타와 보안업체인 코데노미콘 연구원들에 의해 각각 발견됐다.

이 버그는 2011년 말, 오픈SSL에 소개됐다.

오픈SSL이 웹사이트에서 광범위하게 사용하고 있기 때문에 많은 이들이 그들 서버와 고객 간 트래픽을 암호화하는 데 의존한다. 하트블리드 결함은 매우 은밀하게 악용할 수 있다.
보안전문가들은 사용자 이름, 비밀번호, 심지어 사이트 서버에 사용된 암호화 키마저도 캐낼 수 있어 사이버범죄가 있었거나 있을 수 있음을 우려했다.

오픈SSL 프로젝트는 지난 4월 7일 서버용 소프트웨어와 일부 클라이언트 운영체제에 대한 버그 패치를 발표했다. 열흘이 지난 4월 17일, 취약점을 가졌던 서버들은 대부분 패치했다.

수쿠리는 "알렉사에 등재되어 있는 톱 1000대 사이트 모두 패치를 완료했다. 하지만 해당 리스트를 좀더 넓게 파악해 본 결과, 여전히 취약점을 갖고 있는 사이트를 발견할 수 있었다"며, "톱 1만 개 사이트에서는 0.53%가, 10만 개에서는 1.5%, 그리고 100만 개 사이트에서는 2%의 사이트가 취약점을 패치하지 않았다"고 설명했다.

다른 조사에서도 유사한 통계가 나왔다. 미국 샌디에고 소재의 웹센스는 5만개 사이트 가운데 1.6%가 공격에 취약하다고 밝혔다.
보안 전문가들은 웹사이트 소유자들에게 새로운 SSL 인증과 키를 받기를 독촉했으며, 신중한 사용자라면 웹사이트에 접속할 때 경계를 늦추지 말 것을 충고했다.

수쿠리 측은 "이번 조사를 통해 사이트들이 새로운 인증 재발행 여부를 확인할 방법이 없었다"며, "이로 인해 웹을 통한 또하나의 혼란이 올 것이며, 점점더 결과는 나빠질 것이라고 예상한다"고 말했다.

여러 온라인 도구는 하트블리드 취약점 사이트를 보호해주는데, 보안 개발업체인 퀄리스가 제시한 것도 그 가운데 하나다.

퀄리스가 감지한 바에 따르면, 알렉사에 4만 9,000번째로 등재되어 있는 온라인 의류 사이트는 지난 21일까지 여전히 하트블리드 취약점을 갖고 있다. editor@itworld.co.kr


X