오픈소스로 공개돼 수많은 서버들이 사용하고 있는 암호화 통신 프로토콜인 '오픈SSL' 진영이 새로 발견된 취약점에 대한 문제를 해결하기 위해 28일 오후 1시~5시 사이에 보안패치를 공개한다.
지난해 초 오픈SSL 1.0.1에서 발견된 '하트블리드'라는 취약점이 구글, 아마존 등 주요 클라우드 서비스 사업자들은 물론 시스코시스템즈, 주니퍼네트웍스 등이 제공하고 있는 일부 네트워크 장비에도 영향을 줄 수 있는 것으로 나타나면서 해당 기업들이 긴급히 대응에 나선 바 있다.
오픈SSL에서 발견된 취약점이 문제가 되는 가장 큰 이유 중 하나는 리눅스 서버 대부분이 이러한 통신방법을 쓸 수 있도록 지원하기 때문이다. 리눅스 배포판 중 하나인 데비안 리눅스 서버의 경우 98.7%가 오픈SSL을 적용하고 있는 만큼 빠른 대응이 필수다.
레드햇 제품 보안 담당 책임자이자 오픈SSL 진영 회원으로 활동하고 있는 마크 콕스는 "오픈SSL 프로젝트팀은 오픈SSL 1.0.2f, 1.0.1r을 배포할 예정이며, 이전 버전인 1.0.2에 영향을 줄 수 있는 위험성이 높은 것과 상대적으로 낮은 취약점에 대한 문제를 해결한 것"이라고 밝혔다.
그는 "위험성이 높은 취약점은 하트블리드와 같이 거의 모든 오픈SSL에 공통으로 적용될 만큼 심각한 수준은 아니지만 악용될 우려가 있어 패치가 나오는데로 영향을 받는 서버를 업데이트할 예정"이라고 덧붙였다.
레드햇과 함께 리눅스 배포판을 제공하고 있는 SUSE, 캐노니컬 등에서도 28일 패치가 나오는데로 개발자나 서버관리자들이 적용할 수 있도록 공개한다는 방침이다.
관련기사
- 오픈소스도 안전하게...리눅스재단 '보안배지' 도입2016.01.27
- 아마존, 오픈소스 암호화 기술 's2n' 공개2016.01.27
- 오픈SSL 진영, 보안 업데이트 배포 시작2016.01.27
- 오픈SSL 진영, 하트블리드급 새 취약점 해결2016.01.27
만약 오픈SSL 1.0.0이나 0.9.8과 같은 구버전을 사용해 왔던 개발자 혹은 서버 관리자들은 서둘러 새로운 버전으로 업데이트해야한다. 오픈SSL 진영은 이러한 구버전에 대해 올해부터는 보안업데이트를 제공하지 않겠다는 방침을 밝히기도 했다.
오픈SSL 진영은 지난해에만 31건에 달하는 취약점에 대해 대응한 바 있다.
