암호화 통신을 위해 사용되는 SSL3.0 버전에서 10년 넘게 방치됐던 '푸들(Poodle)' 취약점이 이후에 나온 TLS1.0 프로토콜에서도 같은 문제를 유발할 수 있다는 사실이 밝혀졌다.
9일(현지시간) 미국 지디넷에 따르면 구글 암호화 통신(SSL)의 그루로 알려진 아담 랭글리가 이 같은 사실을 공개했다. SSL3.0의 후속으로 개발된 TLS1.0 역시 해당 취약점에 영향을 받을 수 있다는 것이다.
일부 TLS 버전은 기능이 있음에도 불구하고 여전히 패딩 바이트를 확인하지 않는다. SSL3.0을 쓰던 개발자가 TLS로 바꾼다고 하더라도 푸들 취약점에 대해 특별히 추가적인 설정을 하는 경우는 드물기 때문이다.
관련기사
- 내년에 주목되는 보안 이슈는?2014.12.10
- 18년된 SSL3.0 웹 암호화 기술서 취약점 발견2014.12.10
- 美병원 노린 개인정보유출에 '하트블리드' 악용2014.12.10
- 세계 대기업 3%만 하트블리드 완전해결2014.12.10
푸들 취약점을 악용하는 공격수법(익스플로잇)은 아직 공개된 것이 없다. 그러나 구글과 다른 회사들은 SSL3.0을 지원했던 기능들을 없애고 있는 상황이다.
랭글리는 F5, A10 네트워킹 장비가 영향을 받을 수 있다며 F5는 관련 보안업데이트를 공개했고, A10 역시 계획 중인 것으로 알고 있다고 밝혔다.
