TLS 암호화기술, SSL과 하위 호환돼 푸들 공격 위험성 상존
SSL 3.0 기술을 서버·브라우저에서 비활성화, 하위 호환 차단해야
http://www.boannews.com/media/view.asp?idx=43838&kind=4
▲ ProxySGs의 기본 설정은 클라이언트에서 SSLv3 커넥션을 차단하도록 되어 있으며, SSL 구성 메뉴에서 관련 정책을 설정할 수 있다.
구글 소속 연구원들이 SSL 3.0 웹 암호화 기술의 취약점을 발견해 ‘푸들’(Padding Oracle On Downloaded Legacy Encryption, POODLE)이라 이름 짓고 보안관계자들에게 주의를 당부했다. SSL 3.0은 만들어진 지 18년이 다 된 기술로, 대부분의 브라우저와 웹사이트들이 사용하고 있다. 그러므로 이 기술의 보안취약점은 심각한 피해를 일으킬 수 있다.
▲ 클라이언트 SSLv3 해제 방법: ProxySG 사용자가 해당 프로토콜을 수용하는 서버에서 SSLv3 연결을 차단하기 위해서는 SSLv3 및 SSLv2를 거부하는 SSL 접근계층 (SSL Access Layer)을 생성하면 된다.
이 푸들 취약점은 암호화 통신 프로토콜 SSL 버전3에서만 존재한다. SSLv3는 1996년도에 SSLv2의 심각한 취약성을 해결하기 위해 처음 공개된 것으로 1999년 TLSv1로 대체됐다. 공식 최근 버전은 2008년 릴리즈 된 TLS 1.2이며, 현재 초안 작업이 이루어지고 있는 TLS 1.3 버전이 곧 공개될 예정이다. SSLv3는 15년의 기간을 거치며 복호화되었으나, 여전히 웹 서버의 98%는 이를 지원하고 있는 상황이다.
블루코트에서는 당분간 SSLv3 사용을 중지하라고 권고하고 있다. ProxySGs의 기본 설정은 클라이언트에서 SSLv3 커넥션을 차단하도록 되어 있으며, SSL 구성 메뉴에서 관련 정책을 설정할 수 있다.
출처 : 보안뉴스
댓글