최근 오픈SSL을 활용한 암호화 통신에서 발견된 '하트블리드(HEARTBLEED)' 취약점이 인터넷 환경을 느리게 만들고 있는 것으로 나타났다.
16일(현지시간) 미국 지디넷에 따르면 영국 인터넷 서비스 회사인 넷크래프트는 자사 블로그에 문제가 된 오픈SSL 1.0.1, 1.0.2 베타 버전을 통해 암호화 통신을 하고 있는 수많은 SSL/TLS 디지털 인증서와 비밀키들을 재발행해야하는 탓에 인터넷 속도가 느려지고 있다고 밝혔다.
오픈SSL을 통해 암호화 통신을 하기 위해서는 클라이언트(PC)와 웹서버가 각각 인증서를 갖고 있어야 한다. 인증서는 두 곳 사이에 주고받은 내용만 확인할 수 있는 별도 비밀키가 사용된다.
넷크래프트는 인터넷을 통해 확인된 전 세계에 유통되고 있는 디지털 인증서를 조사한 결과 약 50만개 이상이 발행됐으며, 이 중 폐기되고 교체된 것은 8만개에 달하는 것으로 집계됐다.
자체 구축한 6만1천개 이상 서버를 통해 콘텐츠딜리버리네트워크(SDN) 서비스를 제공하고 있는 아카마이의 경우에도 전 세계에 발행한 SSL 관련 디지털 인증서를 교체해야하는 숙제를 안고 있는 실정이다.
SSL/TLS 프로토콜을 이용한 암호화 인증은 인터넷 상에서 서로 간 신원확인이 필요할 경우에 활용된다. 주로 기본적인 보안을 유지하기 위한 웹사이트에서 사용된다. 많은 가상사설망(VPN)이 클라이언트와 서버 간에 서로를 인증하기 위해 이 방법을 쓴다.
인증서를 폐기하고 재발행할 경우 PC나 서버 등 인증서 식별자는 '인증 삭제 리스트(Certificate Revocation List, CRL)'라는 파일에 해당 인증서를 추가하게 된다. 이를 통해 실제 폐기된 인증서인지를 확인할 수 있는 것이다.
문제는 CRL이 통제하기 힘들 정도로 많은 폐기된 인증서 항목을 갖고 있을 경우 발생한다. 클라이언트-서버 간 통신 시간을 지연시켜 결국 인터넷 속도저하 문제로 이어지기 때문이다.
많은 클라이언트들이 폐기된 인증서를 확인하기 위해 높은 성능을 유지하고 있는 것은 아니다. 실제로 구글 크롬은 성능저하 문제 때문에 폐기된 인증서 항목을 확인하지 않도록 하는 기본 설정돼 있다.
미국 정보보호 및 교육전문기관인 SANS 내 침해사고분석팀 인터넷스톰센터(ISC)가 조사한 내용에 따르면 16개 인증기관(CA)에서 집계한 CRL 개수가 지난 1일부터 꾸준히 증가한 것으로 나타났다.
관련기사
- 정부, 오픈SSL 취약점 '하트블리드' 패치 권고2014.04.17
- 서버·네트워크 업계, 하트블리드 대응에 분주2014.04.17
- 오바마, NSA '하트블리드' 취약점 활용 묵인 의혹2014.04.17
- "NSA,하트블리드 취약점 알고도 은폐"2014.04.17
넷크래프트에 따르면 만약 모든 인증서가 하트블리드의 영향을 받아 폐기됐을 경우 CRL개수는 기존보다 약 35% 증가한다.
CRL에 대한 제약 때문에 온라인 인증 상태 프로토콜(OCSP)이라는 새로운 표준이 수 년 전 개발된 바 있다. 클라이언트는 CA와 1개 인증서의 상태에 대해서만 확인한다. 정상적인 경우 한번에 하나만 이뤄진다. 이 프로토콜을 적용하면 CRL 방식과 비교해 인터넷 용량을 줄일 수 있지만 반대로 많은 인증서가 폐기됐을 경우 OCSP는 CA들에게 큰 부담이 될 수 있다.
