해당 취약점(CVE-2011-3389)은 Windows 자체의 문제가 아닌 해당 프로토콜(Protocol) 문제로 암호화된 SSL/TLS 트래픽이 특정 조건에서 복호화되어 정보가 노출되는 문제입니다.
■ Windows XP Service Pack 3
■ Windows XP Professional x64 Edition Service Pack 2
■ Windows Server 2003 Service Pack 2
■ Windows Server 2003 x64 Edition Service Pack 2
■ Windows Server 2003 with SP2 for Itanium-based Systems
■ Windows Vista Service Pack 2
■ Windows Vista x64 Edition Service Pack 2
■ Windows Server 2008 for 32-bit Systems Service Pack 2
■ Windows Server 2008 for x64-based Systems Service Pack 2
■ Windows Server 2008 for Itanium-based Systems Service Pack 2
■ Windows 7 for 32-bit Systems, Windows 7 for 32-bit Systems Service Pack 1
■ Windows 7 for x64-based Systems, Windows 7 for x64-based Systems Service Pack 1
■ Windows Server 2008 R2 for x64-based Systems, Windows Server 2008 R2 for x64-based Systems Service Pack 1
■ Windows Server 2008 R2 for Itanium-based Systems, Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
이로 인하여 모든 웹 트래픽이 HTTPS로 되어 있는 보안 연결이거나 HTTP/HTTPS로 혼합된 콘텐츠인 경우에 해당하는 트래픽이 해당 취약점으로 인하여 정보 노출이 발생할 수 있습니다.
하지만 해당 취약점을 이용한 실제적인 공격은 현재 보고되지 않은 상태이며, 공격이 성공하기 위해서 몇 가지 조건이 필요합니다.
- 공격 목표가 되는 사용자가 반드시 활성화된 HTTPS 섹션 내에 있어야 한다.
- 공격자는 공격 목표가 되는 사용자의 웹 브라우저의 암호화된 HTTPS 트래픽 섹션 내에서 동작하고 인젝션(Injection)하기 위한 악성코드가 필요하다.
- 공격자의 악성코드는 사용자가 연결한 HTTPS에 추가되는 것이 허용되기 위한 HTTPS 원본을 동일하게 처리할 수 있어야 한다.
즉, 공격자는 특정 사용자를 악성코드로 감염시킨 상태에서 암호화된 보안 연결이 이루어지는 과정에서 패킷 감청에 성공할 수 있는 것으로 보입니다.
실제 최근에 국가정보원에서 SSL 암호화 패킷을 감청하여 복호화하는데 성공하였다는 기사가 나와 있는데, 이번 취약점은 아니더라도 비슷한 문제로 봐야할 것 같습니다.
해당 취약점은 TLS 1.1, TLS 1.2와 다른 모든 암호화 수단에서는 영향을 미치지 않는 것으로 알려져 있습니다.
그러므로 개인 인터넷 사용자의 경우에는 Windows 7 & Windows Server 2008 R2 운영 체제의 Internet Explorer 웹 브라우저에서 제공하는 인터넷 옵션의 [고급 - 보안] 항목에서 TLS 1.1, TLS 1.2를 체크하시고 이용하시기 바랍니다.
현재 해당 취약점에 대한 보안 패치는 제공되고 있지 않으며, 차후 Windows 보안 업데이트시에 제공될 예정입니다.
최근들어 ssl 관련한 소식이 많군요. 좋은 소식은 아닙니다만...
어쩌면 국내에서 사용하는 웹암호화 프로그램들의 보안 취약점 이슈도 곧 나올수 도 있겠네요.