아이-스프린트, ‘하트블리드’·유사 SSL 관련 취약성 방지 솔루션 제공
상태바
아이-스프린트, ‘하트블리드’·유사 SSL 관련 취약성 방지 솔루션 제공
  • 이광재 기자
  • 승인 2014.05.07 15:41
  • 댓글 0
이 기사를 공유합니다

아시아 태평양 지역에서 신원, 인증 및 액세스 관리 솔루션을 제공하는 기업 아이-스프린트 이노베이션즈(i-Sprint Innovations)가 최근의 오픈SSL(보안 소켓계층)암호 버그인 ‘하트블리드’(Heartbleed)를 탐지하고 그 버그와 기타 유사한 SSL관련 취약 요소를 방지할 수 있는 통찰력 있는 솔루션을 제공한다고 밝혔다.

하트블리드는 우리가 계속 당면하고 있는 보안을 위협하는 또 하나의 버그다. 하트블리드 버그는 인터넷을 통해 오픈SSL 소프트웨어의 취약한 버전으로 보호하는 시스템의 메모리를 읽을 수 있게 한다. 이는 서비스 제공자를 확인하는데 사용하는 보안키를 위태롭게 하고 사용자의 교신 내용, 이름, 비밀번호와 실제 콘텐츠를 암호화 한다.

이 버그는 공격자가 다른 사람의 통신 내용을 도청하고 서비스와 사용자들의 데이터를 직접 훔치며 당사자로 가장할 수 있게 한다. 또한 이 버그는 생산 소프트웨어 속에 2년 이상 잠복해 왔으며 유수 보안 전문가들이 ‘대참사’를 유발할 만한 것으로 지목하고 있다.

이를 즉각 해결하려면 감염된 시스템을 확인해서 이를 교정하고 SSL 인증을 업데이트해야 한다. 사용자들에게는 또 비밀번호를 바꿀 것과 노출된 정보의 추적 오용 위험성을 통보할 필요가 있다.

비록 버그를 오늘 교정했다 하더라도 유사한 버그가 다시 표면으로 나타나던가 소프트웨어 속에 숨어 있지 않는다고 보장할 수 없다. 이와 유사한 영향력을 가진 취약성은 향후 다른 SSL라이브러리나 애플리케이션에서 일어날 수도 있다.

이로 인해 SSL이 데이터의 비밀과 온라인 거래의 온전성을 충분히 보호할 수 있는지에 대한 의문이 제기되고 있다. 기업체들은 앞으로 웹 서비스를 통한 데이터의 누출을 어떻게 관리하고 고객에게 그들의 데이터는 도청으로부터 안전하다고 설득시킬 것인가? 이러한 위험성을 완화시키는 어떤 조치를 취한다면 위험성을 없앨 수 있을까?

비록 SSL 암호가 뚫린다 해도 민감한 데이터의 노출을 방지하려면 기업체들은 비밀번호와 민감한 데이터의 거래를 보호하기 위해 ‘단 대 단 암호’(End-to-End Encryption (E2EE)와 같은 강력한 데이터 보호 솔루션이 필요하다.

E2EE는 민감한 데이터가 취약한 웹의 메모리나 애플리케이션 서버 안에 있다 하더라도 암호화 상태를 그대로 유지하게 한다. 이는 하트블리드 형태의 버그로부터 데이터를 보호할 뿐 아니라 소프트웨어 개발자나 데이터베이스 관리자(DBA)와 같은 내부자가 실수로 또는 고의로 민감한 데이터를 누출하는 것을 방지한다.

실제로 싱가포르통화청(MAS)과 홍콩통화청(HKMA)은 금융기관들이 전자금융 사이트의 비밀번호와 중요한 거래 데이터를 보호하기 위해 E2EE를 채택할 것을 의무화하고 있다.

많은 금융기관들과 마찬가지로 다른 기관들도 통신채널을 통해 암호화된 비밀번호와 민감한 데이터를 전송하기 위해서는 SSL 소프트웨어 외에 이 같은 최상의 암호화 솔루션을 채용해야 한다. 이는 데이터를 서버로 보내기 전에 진입점(사용자 데스크톱PC/스마트폰)에서 암호화 라이브러리와 데이터 암호화를 위한 핵심 데이터를 사용해 성취할 수 있다.

이렇게 하면 데이터가 웹 서버와 애플리케이션 서버에 이를 때까지 암호화된 상태를 유지할 수 있다. 데이터가 애플리케이션 서버에서 해독될 가능성이 있으나 비밀번호의 경우는 하드웨어 보안 모듈(Hardware Security Module, HSM) 안에서 암호화되고 입증된 상태를 유지한다.
HSM은 미국 연방정보처리표준(FIPS)을 충족시킬 수 있는 변형 억제 하드웨어를 사용한 암호화 디바이스다. 이처럼 비밀번호는 진입점에서부터 비교점까지 암호화된다. 이 방식은 하트블리드 형태의 취약성을 완화시키는 것 외에 인트라넷에 있는 사람이 전송 및 저장 과정에서 아무도 비밀번호에 접근하지 못하게 할 뿐 아니라 내부 사기로부터 보호할 수 있게 한다.

요약하면 데이터를 효과적으로 보호하려면 여러 계층으로 된 보안 솔루션과 올바른 처리 절차를 결합해야 한다. 기관(기업)들은 새로운 웹 서버 취약성으로부터 비밀 정보를 보호하기 위해 SSL 보안 소프트웨어에만 의존할 것이 아니라 애플리케이션 계층에서 E2EE솔루션을 사용해야 한다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.