'괴짜(Freak)'라는 사이버보안 문제로 어제 오늘 인터넷이 떠들석합니다.
인터넷 서버와 웹 브라우저 사이의 암호화 기술을 조작해 각종 버그를 일으키거나 데이터를 갈취할 수 있는 'Factoring attack on RSA-EXPORT Keys', 줄여서 'FREAK(괴짜)'로 불리는 보안 취약점이 수면 위로 부상하면서 뜨거운 감자가 되고 있있습니다. 미국 정부 사이트는 물론 전세계 주요 웹사이트 상당수가 이 취약점에 노출돼 있어 언제라도 큰 보안사고로 이어질 수 있다는 지적이 나오고 있습니다.
블로터, 안상욱 기자의 글입니다.
"미국이 최신 암호화 기술에 수출 제한을 건 탓에 생긴 보안 문제가 10여년 만에 수면 위로 떠올랐다. 미국 백악관과 국가안보국(NSA), 연방수사국(FBI) 웹사이트도 같은 보안 문제를 품고 있었다. 애플과 구글 제품도 마찬가지다.
국내 웹사이트도 1200곳 이상 포함돼 있다. 신한카드와 신한금융투자 등 금융기관은 물론이고, 올레·LG유플러스 등 통신사, YTN·매일경제·경향신문·서울신문 등 언론사 웹사이트도 괴짜 버그에 취약한 것으로 드러났다. 카페24, 에누리닷컴, 예스24, CJ몰, 알라딘, 인터파크투어 등 웹사이트도 위험에 노출돼 있다. ‘go.kr’로 끝나는 웹주소를 쓰는 정부기관 웹사이트 138곳, ‘ac.kr’로 끝나는 국내 대학교 50곳도 목록에 들어 있다. [...]"
"미국은 1990년대 말까지 강력한 암호화 기술(SSL)을 해외에 수출하지 못하도록 가로막았다. 암호화 기술이 들어간 제품을 해외에 내다 팔려면 암호화 기술을 약하게 손봐 “수출급” 제품을 따로 만들도록 강제했다. 수출급 제품은 512비트 암호화키까지만 이용할 수 있었다. 이로부터 10년이 지났다. 컴퓨터 성능은 고도로 발전했다. 이에 발맞춰 암호화 기술도 성장했다. 512자리 이진수를 암호화키로 쓰는 512비트 암호화 기술은 이제 쓰지 못할 정도로 약화됐다." [이하 생략]
- Bloter
요약하면,
미국 클린턴 행정부 시절(1993~2001) 자국 소프트웨어를 외국으로 수출할 때 반드시 암호화 수준을 '수출 등급'으로 낮추도록 하는 규제를 운영한 적이 있다고 합니다. 당시로서는 '수출 등급' 암호화 기법도 충분히 안전하다고 생각했는데, 그동안 컴퓨터 성능이 월등히 좋아지고 해킹 기술이 날로 발전하면서 이제 실질적으로 보안을 위협할 만한 수준에 이르렀다는 것입니다.
보안 전문가들에 의하면 '수출 등급'의 암호화 기법(512bit RSA)은 7시간 안에 서버와 클라이언트 사이의 데이터를 가로채 사용자의 비밀번호나 개인정보를 빼낼 수 있다는 사실이 확인됐다고 합니다. 또 여러 웹 브라우저 중 애플의 사파리와 구글 안드로이드에 내장된 웹브라우저가 특히 취약한 것으로 알려졌는데, 다행히 애플과 구글이 취약점에 대해 인지하고 있고 이번주나 늦어도 다음주 중으로 패치를 내놓을 예정이라고 합니다.
일단 현재로서는 웹 서버나 브라우저 어느 한쪽이라도 패치가 완료되면 취약점으로 안전하다고 보시면 됩니다.
웹 서버 패치 여부 확인
블로터 기사에서도 볼 수 있듯이 국내∙외를 통틀어 상당수의 인터넷 서버가 이 취약점을 이용하는 공격을 받을 위험이 있습니다. 알렉사 선정 탑 100만 사이트 중에서 10%에 해당하는 사이트가 영향권에 있는 것으로 알려졌습니다. (알렉사는 전 세계 웹사이트의 트래픽을 분석하는 기업입니다.)
취약점을 발견한 연구진에 따르면 웹 서버를 운용하고 있는 네트워크 관리자는 패치가 나올 때까지 'RSA_EXPORT Cipher Suites'를 지원하거나 클라이언트로 'RSA_EXPORT suite'를 전송할 수 있는 모든 기능을 비활성화시킬 것을 권장하고 있습니다. ➥ 관련자료: Security/Server Side TLS
또 웹 서버가 해당 취약점의 영향을 받는지 확인하는 방법도 공개됐는데, 터미널에서 openssl 명령어와 호스트 이름을 입력했을 때 'alert handshake failure'가 돌아오면 취약점에 안전한 상태이며, 'Certificate chain'이 돌아오면 공격에 노출되어 있는 상태라고 합니다.
* 취약점에 안전한 호스트
* 취약점에 노출된 호스트
openssl s_client -connect WWW.XXXX.COM:443 -cipher EXPORT* 위 명령어의 www.xxxx.com 부분에 사이트 URL을 입력하세요
웹 브라우저 패치 여부 확인
웹 브라우저는 제작사가 패치를 내놓을 때까지 취약점에 대비할 수 있는 마땅한 방법이 없는 상태입니다. 다만 웹 브라우저가 패치된 상태인지 정도는 확인할 수 있는데, freakattack.com 사이트에 접속했을 때 빨간색으로 "Warning" 문구가 나오면 패치가 이뤄지지 않은 상태이며,
반대로 초록색으로 "Good News"라는 문구가 나오면 패치가 완료된 상태입니다. 구글 크롬은 패치가 완료된 것으로 나오고 있는데, 안드로이드에 포함된 웹 브라우저와 OS X용 사파리 8.0.3 버전, iOS 8.1.3은 다음주 중 패치가 나올 예정이라고 하니 일단은 기다려 봐야 할 듯합니다.
* 패치가 아직 이뤄지지 않은 웹 브라우저
* 패치가 완료된 웹 브라우저
참조
• Bloter - 10년 만에 발견된 ‘괴짜’ 보안 버그
• Tracking the FREAK Attack
• 괴짜 버그에 취약한 웹사이트 목록 (txt 파일)
관련 글
• 애플, OS X 긴급 보안 업데이트 배포... 'NTP 원격코드 실행 취약점 해결'
• 애플, OS X 요세미티 10.10.2 버전에서 '썬더스트라이크' 보안 취약점 수정