하트블리드 이슈로 인해 긴급 업데이트를 실시한 지 두 달이 채 지나지 않아 추가 업데이트를 진행해야 하기 때문이다. 데이터 암호화를 위해 오픈SSL을 채택한 보안업체들은 또 다시 고객사를 대상으로 긴급 업데이트를 준비하고 있다.

11일 안랩, 시큐아이, 윈스, 지니네트웍스 등 주요 네트워크 보안솔루션 업체들은 지난 4월에 이어 오픈SSL 취약점 해소를 위해 업데이트를 준비하고 있다.

이번에 등장한 오픈SSL 취약점의 경우 영향을 받을 수 있는 버전이 한정돼 있어 업데이트가 필요한 제품의 갯수는 하트블리드 취약점에 비해 줄어 들었다.

오픈SSL 클라이언트와 서버 모두가 취약점에 영향을 받는 버전일 경우에만 문제가 발생할 수 있다. 하지만 취약점이 발현할 조건을 만족시키면 중간자공격, 원격조정 등 중대한 위협으로 이어질 수 있어 업데이트가 반드시 이뤄져야 한다.

보안업계 관계자는 “하트블리드 이슈로 인해 이에 영향을 받을 수 있는 모든 제품들에 대해 업데이트를 진행했으나 한 달만에 새로운 취약점이 등장했다”며 “이번 취약점으로 인해 오픈SSL을 사용하는 모든 보안솔루션에 대한 업데이트가 진행될 것으로 예상된다”고 전했다.

특히 이번 취약점은 모든 클라이언트 버전에 영향을 끼치기 때문에 침입방지시스템(IPS), 가상사설망(VPN), 통합위협관리(UTM), 웹방화벽(WAF) 등 오픈SSL을 채택한 모든 제품군에 대한 업데이트가 이뤄져야 한다.

오픈SSL 0.9.x 버전을 채택해 하트블리드 이슈를 벗어났던 보안업체들도 업데이트를 준비하고 있다. 이들은 클라이언트 업데이트만 진행함으로써 취약점이 발현하는 조건을 사전에 차단하는 방법을 채택하고 있다.

보안업계에서는 오픈SSL 취약점이 잇달아 나오고 있으나 이를 대체할 수 있는 기술이 마땅치 않아 오픈SSL을 사용할 수 밖에 없는 상황이다.

이동범 지니네트웍스 대표는 “오픈SSL을 대체해 데이터 통신의 안전성을 보장해줄 수 있는 기술은 아직까지 없다고 판단된다”며 “국내 블록암호화 기술인 시드(SEED), 아리아(ARIA)의 경우도 실제로 통신에 사용되는 프로토콜은 오픈SSL을 사용하기 때문에 근본적인 해결은 어렵다”고 설명했다.

한편 이번 오픈SSL 취약점은 중간자공격(CVE-2014-0224) 외에 원격코드 실행 취약점(CVE-2014-0195)에 대한 취약점과 오픈SSL 서비스거부(DoS) 공격 취약점(CVE-2014-0221, CVE-2014-0198, CVE-2010-5298, CVE-2014-3470)을 모두 포함하고 있다.

<이민형 기자>kiku@ddaily.co.kr