OpenSSL의 HeartBleed 취약점에 대해 우리가주의해야 할 사항이란?

사회 생활에서 사이버 공간이 없어해서는 안되어 현대, 우리는 날마다 다양한 위협에 노출되어 있습니다. 이번 나타났다 OpenSSL의 HeartBleed 취약점 에 대한 공격도 그 중 하나입니다. 정보 유출 및 프라이버시 정보의 공개 관련 화제는 끊이지 않고, 또한 작금의 사이버 범죄자의 목적이 금전 착취에 집중하고있는 것은 잘 알려져 있습니다.

트렌드 마이크로는 2014 년 4 월 지하 시장에서 어떤 정보가 매매되고 있는지를 조사했습니다. 거기는 Facebook과 Twitter 등 무료로 이용할 수있는 서비스의 ID · 패스워드는 완전히라고 말해도 좋을 정도 출품되고 있지 않고, 동영상 시청 등의 유료 서비스 "현재 사용 가능한"ID · 패스워드가 다수 출품되어 밑에. 또한 사이버 범죄자에게 사용하기 편리하다고 생각되는 현재에도 유효한 이메일 주소와 암호도 일부 출품되고있었습니다. 조사 전에 예상은 과거에 대규모 유출이 있었다 계정 목록이 출품되고 있다고 생각했지만, 그런 출품 확인할 수 없습니다.

또한 언더 그라운드 시장과는 별도로, ID · 패스워드를 포함한 비밀 정보의 누설은 세계에서 일상적으로 행해지고 있습니다.그런 누수 정보가 모아지고있다 Web 사이트를 관찰 한 결과, 인기가 모여있는 것은 개인의 신용 카드 정보였습니다. 여기에서도 역시 사이버 범죄자의 목적이 금전 착취에 집중하고있는 것으로 나타났다입니다. 이 때문에 사이버 범죄자들은​​ 이번 HeartBleed 취약점을 이용한 공격도 금전에 연결 정보를 노리고 올 것이다는 것은 상상하기 어렵지 않습니다.

이번 취약점을 이용한 공격은 SSL 통신에서 공격 요청을 송부하여 그 응답으로 메모리에 데이터를 불법으로 취득 할 수 있다는 것이다. 부정을 획득 할 수있는 데이터는 SSL 인증서의 개인 키 사용자가 서버에 전송 한 정보, 서버가 사용자에게 송부 한 정보입니다. SSL은 안전하게 통신 할 수있는 구조이기 때문에 그 속에서 교환되는 정보는 암호 신용 카드 번호 온라인 은행에 로그인 정보 등 공개적으로 은밀하게 될 것을 일반 텍스트 통신 보다 많이 포함합니다. 그리고 SSL 인증서의 개인 키를 빼앗겨 버리면 다른 공격 기법과 결합하여 사이버 범죄에 의한 통신 내용의 도청과 "스푸핑 Web 사이트"의 작성이 가능하며, 또한 피해가 확대됩니다 . 이러한 취약점을 이용한 공격의 피해를 막기 위해 우리가 알아야 할 것을 일반 사용자, Web 사이트 관리자, 응용 프로그램 개발자의 3 가지 관점에서 정리합니다.

■ 일반 인터넷 사용자가해야 할
가장 큰 피해자가 될 수있다 일반 사용자는 사이버 범죄자가 가장 원하는 것은 돈으로 연결되는 정보라는 것을 제대로 인식 한 후, 자신의 몸을 보호하기 위해 다음의 대처를 할 수 있습니다.

첫째, 브라우저 나 스마트 폰 암호 나 신용 카드 번호 등을 입력 할 때에는 그 대상이 정말 어울리는 여부를 제대로 확인합시다. 방법은 원래 SSL 통신 (HTTPS)인지 여부를 확인하는 데 일반적으로 주소 표시 줄의 도메인 이름과 SSL 인증서를 확인하는 것이 중요 포인트입니다 만, 특히 이번 취약점에 대해 확인하는 관점에서는이 외에도 두 지점이 있습니다.

1. 정보의 대상이되는 Web 사이트 HeartBleed 취약점의 영향을받지 않는 것, 즉 "OpenSSL을 최신 버전으로 업그레이드 됨"또는 "OpenSSL을 사용하지 않는"중 하나 인 것을 확인한다.

   취약점을 가진 서버에 전송 된 정보는 불법으로 획득 할 수 있습니다. 취약점의 영향을받지 않음을 확인할 수 있었다 사이트에서만 정보를 입력해야합니다. 그러나 모든 Web 사이트 운영자가 개별 질문에 완벽하게 응답 할 수있는 것은 아니므로 우선 Web 사이트 운영자로부터의 발표를 기다리는 것이 바람직합니다.

2. 서버의 SSL 인증서가 OpenSSL 업그레이드 한 후 새 것으로 교체되어 있는지 확인한다. 또한 자신이 평소 사용하는 브라우저가 "서버 인증서 해지 확인 할 설정"으로되어 있는지 확인한다.

   취약점이 있던 서버에서 SSL 인증서의 개인 키를 불법으로 구한되어 버리고있을 가능성이 있기 때문에 Web 사이트 운영자는 새로운 SSL 인증서를 취득하는 것이 좋습니다되어 있습니다. 상기 확인하여 Web 사이트 운영자가 한 SSL 인증서의 대체 효과가 제대로 얻지 사이버 범죄자에 의해 "스푸핑 Web 사이트"에서 자신을 보호 할 수 있습니다.

   특히 Chrome의 현재 버전은 기본적으로이 기능이 활성화되어 있지 않기 때문에주의가 필요합니다. 브라우저마다 다음 부분에서 확인할 수 있습니다.

   • Internet Explorer : 도구> 인터넷 옵션> 고급> 보안> "서버 인증서 해지 확인"에 체크가되어 있는지
   • Chrome : 설정> 고급 설정 표시 ...> HTTPS / SSL> "서버 인증서 해지 확인"에 체크가되어 있는지 
     ※ 기본적으로 체크없이되어 있기 때문에 체크를 넣어주세요.

그리고 경우에 따라서는이보다 신경을 쓸 필요가있는 항목이 있습니다.

전술 한 바와 같이, 사이버 범죄자들은​​ 예를 들어 SNS 등의 ID · 패스워드보다 더 직접적으로 금전에 관련된 정보를 요구하고있는 것으로 알고 있습니다. 즉, 신용 카드 사용 내역에 충분히 배려 할 필요가 있습니다. 평소 소액 밖에 사용하지 않는 등의 이유로 사용 내역 및 결제 금액을별로 인식하지 않는 분은 어느 정도있는 것은 아닐까요. 우리가 대면하고있는 위협은 취약점뿐만 아닙니다. 이를 계기로 향후 당분간은 온라인에 사용 된 적이있는 신용 카드의 사용 내역에 대해주의 깊게 지켜 보는 것을 추천합니다.

■ Web 사이트 운영자가해야 할
HeartBleed 취약점은 너무 유명하게되었습니다. 일반적지면에서도 크게 화제가되어, 사용자의 관심은 현재도 높습니다. 우선은 자신의 운영하는 Web 사이트가 OpenSSL을 사용하고 있는지 여부를 확인하세요. 그리고 사용하는 경우, 당신의 Web 사이트를 이용하는 고객의 안전과 안심을 위해 대책을 실시한다. 실시 항목은 다음과 같이들 수 있습니다.

1. OpenSSL를 취약점이 해결 된 버전 (현재 최신 버전은 1.0.1g)으로 업그레이드하는
   이번 영향을받는 것은 OpenSSL 1.0.1 ~ 1.0.1f 및 1.0.2-beta ~ 1.0.2-beta1입니다 하지만 이전 버전으로 다운 그레이드 과거에 밝혀졌다 다른 취약점의 영향을받을 수 있으므로 권장되지 않습니다.
2. SSL 인증서의 해지와 새 키 쌍을 사용하여 발행 한 새로운 인증서 대체
   어떤 인증서가 영향을 받는지를 알 수있는 방법이 없기 때문에 새로운 키 쌍을 생성하고 SSL 인증서를 발급하고 다시 해야합니다. 비밀 열쇠를 교환하는 것이 목적이므로, 인증서 재발급시에는 본 취약점 대응 이전 키 쌍에서 생성 한 CSR을 사용 돌리지 않도록 충분히 유의하십시오.

그리고 대책이 완료되었음을 알리고 고객의 우려를 해소시켜 봅시다. 발표시에 명확하게해야 할 포인트는 다음과 같습니다.

• OpenSSL를 취약점이 해결 된 버전 (1.0.1g)으로 업그레이드 한 것.
• 게다가 지금까지 사용하고 있던 SSL 서버 인증서를 해지하고 새 키 쌍을 사용하여 발행 한 새로운 인증서로 교체 한 것.

원래 OpenSSL을 사용하지 않고 이번 취약점의 영향을받지 않는 경우는, 그 취지를 발표함으로써 고객을 안심시킬 수있을 것입니다.

■ 모바일 앱, Web 응용 프로그램을 포함한 모든 응용 프로그램 개발자가해야 할
우선 개발하는 응용 프로그램이 SSL을 위해 OpenSSL을 사용하는 경우, 사용 목적이 서버인지 클라이언트인지에 관계없이 취약점이 해결 된 버전 (현재 최신 버전은 1.0.1g)로 업그레이드하세요.

그리고 응용 프로그램이 클라이언트로 SSL 통신을 할 경우에는 OpenSSL을 사용하고 있는지 여부에 관계없이 일반 인터넷 사용자와 동일한 조치를해야합니다. 즉, 중요한 정보의 대상이 그에 상응 여부를 제대로 확인해야합니다. 정상적으로 SSL 서버 인증서가 자신의 신뢰하는 인증 기관에서 발행 된 것인지를 검증 한 후, 이번 취약점의 영향으로 Web 사이트 측에서 비밀 키 유출이 있었을 경우에 대비하여 SSL 인증서 책 해지 확인도해야합니다. 인증서가 자신의 신뢰하는 인증 기관에서 발행 된 것이없는 경우는 물론, 해지되지 않거나 해지 정보를 확인할 수 없었던 경우도 대상이 잘못 생각하고 이후 통신을하지 않도록 응용 프로그램을 제어하는​​ 것이 바람직합니다. 이것은 사이버 범죄자에 의해 "스푸핑 Web 사이트"에서 앱 고객들의 몸을 지키는 것에 연결됩니다.

■ 트렌드 마이크로에서 제공하는 백신
서버 용 종합 보안 제품 " Trend Micro Deep Security (트렌드 마이크로 딥 보안)」및 클라이언트 용 종합 보안 제품 'PC-cillin 기업 판'플러그인이다 " 취약점 대책 옵션 "에서는 HeartBleed 취약점 을 공격하는 통신을 탐지, 차단하는 것이 가능합니다.

또한 네트워크 모니터링 솔루션 제품 " Trend Micro Deep Discovery (트렌드 마이크로 딥 디스커버리)」에 의한 네트워크 동작 모니터링은 네트워크에서 HeartBleed 취약점을 공격하는 통신의 존재를 시각화하고 경고 할 수 있습니다.