울지않는벌새 : Security, Movie & Society

SSL 3.0 보안 취약점 보안 권고 : CVE-2014-3566 (2014.10.30)

벌새::Security

2014년 10월 중순경에 공개된 Secure Sockets Layer(SSL) 3.0 프로토콜의 보안 취약점(CVE-2014-3566)으로 인하여 공격자가 MITM(Man-in-the-Middle) 공격을 통해 정보를 유출할 수 있는 일명 POODLE 취약점이 공개되었습니다.

이에 따라 마이크로소프트(Microsoft) 업체에서는 모든 Windows 운영 체제에서 영향을 받을 수 있는 CVE-2014-3566 보안 취약점에 대하여 Internet Explorer 웹 브라우저에서 SSL 3.0 프로토콜 기능을 비활성화하여 정보 탈취를 할 수 없도록 사전 조치를 위한 Microsoft Fix it 도구를 공개하였습니다.

제공되는 Microsoft Fix it 51024 도구를 다운로드하여 설치를 진행하시면 SSL 3.0 프로토콜을 이용한 통신을 할 수 없도록 차단할 수 있습니다.

정상적으로 Fix it이 이루어진 환경에서는 Internet Explorer 웹 브라우저 인터넷 옵션의 고급 설정에서 "SSL 3.0 사용" 항목이 체크 해제된 것을 확인할 수 있습니다.

 

차후 마이크로소프트(Microsoft) 업체에서는 Internet Explorer 웹 브라우저 이외의 서비스에서도 SSL 3.0 프로토콜을 이용한 통신 기능을 모두 제거하고 TLS 1.0, TLS 1.1, TLS 1.2 보안 프로토콜을 이용할 수 있도록 할 예정이라고 밝히고 있습니다.