[이슈분석]"오픈SSL 업데이트하고, 하트비트 기능 꺼야"

한국인터넷진흥원(KISA)은 하트블리드 취약점과 관련해 오픈SSL 업데이트를 실시하거나 하트비트 기능을 끄라고 경고했다. 일반 사용자는 서비스 제공자가 업데이트하는 패치를 신속히 적용해야 한다.

서버 관리자는 오픈SSL 공식 홈페이지에서 제공하는 1.0.1g 버전으로 업데이트를 진행해야 한다. 공개용 웹서버 프로그램 아파치·엔진엑스와 함께 사용되는 경우가 많아 이 경우 반드시 버전 확인이 필요하다. 1.0.1~1.0.1f, 1.0.2-베타, 1.0.2-베타1을 쓰고 있다면 업데이트 대상이다. 이미 SSL 비밀키가 유출됐을 가능성이 있어 인증서 재발급도 검토해야 한다.

특정 오픈SSL 버전에 맞춰 시스템이 설계됐거나 서버 구조가 복잡해 업데이트가 어렵다면 취약점 핵심인 하트비트 기능을 꺼야 한다. 부가 기능이기 때문에 적용하지 않는다고 해서 서비스 질이나 보안성이 떨어지지 않는다. 실제 1.0.1 이전 버전에는 이 기능이 없지만 동작에 이상이 없다.

네트워크 보안 장비를 사용하고 있다면 하트블리드 취약점을 이용한 공격 패턴을 추가해 침입탐지시스템이 공격을 인지할 수 있도록 한다.

일반 사용자는 관리자가 업데이트하는 패치를 바로 적용해야 한다. 오픈SSL 라이브러리를 내장한 소프트웨어가 사용자 PC에 깔려있을 수 있기 때문이다. 자주 방문하는 사이트 중 하트블리드 취약점을 가진 곳이 있는지 확인해보는 것도 좋은 방법이다. 패치가 완료된 사이트라면 비밀번호를 바꿔 2차 피해를 예방한다.

개발자가 오픈SSL을 바로 적용하지 않고 변형된 자체 라이브러리를 썼다면 수동으로 코드를 추가해야 한다. 오픈SSL을 참조하며 취약점이 있는 코드까지 그대로 가져다 썼을 가능성이 높기 때문이다. 이 경우 메시지 길이를 확인하는 코드를 추가해야 취약점을 해결할 수 있다. KISA는 향후 개발되는 시스템에도 같은 코드를 넣도록 권고했다.

취약점 여부를 자체적으로 확인하기 어려우면 KISA 도움을 받아야 한다. 점검을 요청하면 원격으로 버전을 확인하고 취할 수 있는 조치를 알려준다.

송준영기자 songjy@etnews.com