→ 10년 만에 발견된 '괴짜(FREAK)' 보안 버그... 애플, 다음주 중 패치 배포 예정

2015. 3. 5. 00:56    작성자: ONE™

'괴짜(Freak)'라는 사이버보안 문제로 어제 오늘 인터넷이 떠들석합니다.

인터넷 서버와 웹 브라우저 사이의 암호화 기술을 조작해 각종 버그를 일으키거나 데이터를 갈취할 수 있는 'Factoring attack on RSA-EXPORT Keys', 줄여서 'FREAK(괴짜)'로 불리는 보안 취약점이 수면 위로 부상하면서 뜨거운 감자가 되고 있있습니다. 미국 정부 사이트는 물론 전세계 주요 웹사이트 상당수가 이 취약점에 노출돼 있어 언제라도 큰 보안사고로 이어질 수 있다는 지적이 나오고 있습니다.

블로터, 안상욱 기자의 글입니다.

"미국이 최신 암호화 기술에 수출 제한을 건 탓에 생긴 보안 문제가 10여년 만에 수면 위로 떠올랐다. 미국 백악관과 국가안보국(NSA), 연방수사국(FBI) 웹사이트도 같은 보안 문제를 품고 있었다. 애플과 구글 제품도 마찬가지다.

국내 웹사이트도 1200곳 이상 포함돼 있다. 신한카드와 신한금융투자 등 금융기관은 물론이고, 올레·LG유플러스 등 통신사, YTN·매일경제·경향신문·서울신문 등 언론사 웹사이트도 괴짜 버그에 취약한 것으로 드러났다. 카페24, 에누리닷컴, 예스24, CJ몰, 알라딘, 인터파크투어 등 웹사이트도 위험에 노출돼 있다. ‘go.kr’로 끝나는 웹주소를 쓰는 정부기관 웹사이트 138곳, ‘ac.kr’로 끝나는 국내 대학교 50곳도 목록에 들어 있다. [...]"

"미국은 1990년대 말까지 강력한 암호화 기술(SSL)을 해외에 수출하지 못하도록 가로막았다. 암호화 기술이 들어간 제품을 해외에 내다 팔려면 암호화 기술을 약하게 손봐 “수출급” 제품을 따로 만들도록 강제했다. 수출급 제품은 512비트 암호화키까지만 이용할 수 있었다. 이로부터 10년이 지났다. 컴퓨터 성능은 고도로 발전했다. 이에 발맞춰 암호화 기술도 성장했다. 512자리 이진수를 암호화키로 쓰는 512비트 암호화 기술은 이제 쓰지 못할 정도로 약화됐다." [이하 생략]

- Bloter

요약하면,

미국 클린턴 행정부 시절(1993~2001) 자국 소프트웨어를 외국으로 수출할 때 반드시 암호화 수준을 '수출 등급'으로 낮추도록 하는 규제를 운영한 적이 있다고 합니다. 당시로서는 '수출 등급' 암호화 기법도 충분히 안전하다고 생각했는데, 그동안 컴퓨터 성능이 월등히 좋아지고 해킹 기술이 날로 발전하면서 이제 실질적으로 보안을 위협할 만한 수준에 이르렀다는 것입니다.

보안 전문가들에 의하면 '수출 등급'의 암호화 기법(512bit RSA)은 7시간 안에 서버와 클라이언트 사이의 데이터를 가로채 사용자의 비밀번호나 개인정보를 빼낼 수 있다는 사실이 확인됐다고 합니다. 또 여러 웹 브라우저 중 애플의 사파리와 구글 안드로이드에 내장된 웹브라우저가 특히 취약한 것으로 알려졌는데, 다행히 애플과 구글이 취약점에 대해 인지하고 있고 이번주나 늦어도 다음주 중으로 패치를 내놓을 예정이라고 합니다.

일단 현재로서는 웹 서버나 브라우저 어느 한쪽이라도 패치가 완료되면 취약점으로 안전하다고 보시면 됩니다.

웹 서버 패치 여부 확인

블로터 기사에서도 볼 수 있듯이 국내∙외를 통틀어 상당수의 인터넷 서버가 이 취약점을 이용하는 공격을 받을 위험이 있습니다. 알렉사 선정 탑 100만 사이트 중에서 10%에 해당하는 사이트가 영향권에 있는 것으로 알려졌습니다. (알렉사는 전 세계 웹사이트의 트래픽을 분석하는 기업입니다.)

취약점을 발견한 연구진에 따르면 웹 서버를 운용하고 있는 네트워크 관리자는 패치가 나올 때까지 'RSA_EXPORT Cipher Suites'를 지원하거나 클라이언트로 'RSA_EXPORT suite'를 전송할 수 있는 모든 기능을 비활성화시킬 것을 권장하고 있습니다. ➥ 관련자료: Security/Server Side TLS

또 웹 서버가 해당 취약점의 영향을 받는지 확인하는 방법도 공개됐는데, 터미널에서 openssl 명령어와 호스트 이름을 입력했을 때 'alert handshake failure'가 돌아오면 취약점에 안전한 상태이며, 'Certificate chain'이 돌아오면 공격에 노출되어 있는 상태라고 합니다.


* 취약점에 안전한 호스트


* 취약점에 노출된 호스트

openssl s_client -connect WWW.XXXX.COM:443 -cipher EXPORT
* 위 명령어의 www.xxxx.com 부분에 사이트 URL을 입력하세요

웹 브라우저 패치 여부 확인

웹 브라우저는 제작사가 패치를 내놓을 때까지 취약점에 대비할 수 있는 마땅한 방법이 없는 상태입니다. 다만 웹 브라우저가 패치된 상태인지 정도는 확인할 수 있는데, freakattack.com 사이트에 접속했을 때 빨간색으로 "Warning" 문구가 나오면 패치가 이뤄지지 않은 상태이며,

반대로 초록색으로 "Good News"라는 문구가 나오면 패치가 완료된 상태입니다. 구글 크롬은 패치가 완료된 것으로 나오고 있는데, 안드로이드에 포함된 웹 브라우저와 OS X용 사파리 8.0.3 버전, iOS 8.1.3은 다음주 중 패치가 나올 예정이라고 하니 일단은 기다려 봐야 할 듯합니다.


* 패치가 아직 이뤄지지 않은 웹 브라우저


* 패치가 완료된 웹 브라우저



참조
Bloter - 10년 만에 발견된 ‘괴짜’ 보안 버그
Tracking the FREAK Attack
괴짜 버그에 취약한 웹사이트 목록 (txt 파일)

관련 글
애플, OS X 긴급 보안 업데이트 배포... 'NTP 원격코드 실행 취약점 해결'
애플, OS X 요세미티 10.10.2 버전에서 '썬더스트라이크' 보안 취약점 수정

    
  1. Blog Icon
    Sonic

    제가 주력으로 사용하는 Firefox v36.0에서는 안전하다고 나오네요....^^;

  2. Blog Icon
    JJICJJA

    저도 파폭 v36 사용중인데 경고가 뜨는데요?

  3. Blog Icon
    Sonic

    흠~ 그럼 Yosemite 10.10.3 베타에서 패치가 된건지도 모르겠네요....^^;

  4. Blog Icon
    cjdjiw

    ㅎㅎ 이해가 안되네여

  5. Blog Icon
    hrrrr

    애플이 자사 제품에 있었던 버그취약점을 10년만에 찾아냈다는 줄 알았습니다.

    제목이 ㄷㄷㄷㄷ

  6. Blog Icon
    와룡서생

    128bit 암호도 강력하다고 하던 시절이 있었는데 어느새 벌써 512bit시대로군요..;;

    양자컴퓨터가 나오면 소수기반의 암호체계가 완전히 무력화된다고 하는데... 양자컴퓨터는 등장했고.. 어떻게 될려나요.

    그나저나 암호화기술에 수출등급 적용을 강요한 장본인이 NSA인데, 자기들 사이트에도 동일한 보안취약점이 발견되었다니 아이러니네요. ㅎㅎ

  7. 128비트 이야기는 AES, 512비트 이야기는 RSA에 대한 것인 것 같네요.

  8. Blog Icon
    min

    터미널 명령어를 입력하니... 안전합니다. ^^ 단, 사파리는 빨간색으로 경고문이 나오네요. ㅠㅠ 크롬을 쓰던가... 패치가 나올때까지 기다려야 겠네요. 매번 감사합니다. ^^

  9. Blog Icon
    k.

    위에적어 놓은것대로 입력하지마시고 홈페이지 URL을 수정해서 입력해보세요
    openssl s_client -connect WWW.XXXX.COM:443 -cipher EXPORT
    이렇게 입력하고 엔터 하면 당연히 없는 사이트여서 안전하다고? 나옵니다.

    하지만 밑에 이것대로 입력해보세요. 그럼 취약하다고 나올겁니다.
    openssl s_client -connect WWW.PPOMPPU.CO.KR:443 -cipher EXPORT

    뽐뿌 사이트로 테스트 하는겁니다. 그럼.

  10. Blog Icon
    gonagi

    터미널 명령은 서버가 취약한지 확인하는 거고요.
    freakattack.com에 접속하는 건 브라우저(클라이언트)의 취약점 확인하는 거예요.

  11. Blog Icon
    boolsee

    이전에 SSL 은 무기 수출과 동급으로 취급했었죠. 그래서, 외국 회사 소스를 도입할 때, 소스를 가져 오지 못하고 Print-out 해서 책으로 받아야 하는 것은 괜찮다고 해서 검토했었던 적도 있었는데 10년이 흐르니 삽질이었음이 밝혀지는군요. ^^

  12. Blog Icon
    gonagi

    보안 업계에 오래 동안 계셨었나봐요. 예전에 PGP 소스를 유럽으로 가져가기 위해 프린터로 인쇄한 코드를 가져간 적이 있었죠. 바보같은 규정 때문에... ㅋ

  13. Blog Icon
    정원우

    헐.... 애플 구글 미국 정부 전세계의 주요 사이트가 하나의 약점을 가지고 있다니 쩐다...