본문 바로가기

nCipher HSM (Thales-HSM )

하트블리드(Heartbleed) 취약 방지 솔루션 Thales-HSM




[하트블리드 - Heart Bleed]

하트블리드는 우리가 계속 당면하고 있는 보안을 위협하는 또 하나의 버그입니다. 하트블리드 버그는 인터넷을 통해 오픈SSL 소프트웨어의 취약한 버전으로 보호하는 시스템의 메모리를 읽을 수 있게 합니다. 이는 서비스 제공자를 확인하는데 사용하는 보안키를 위태롭게 하고 사용자의 교신 내용, 이름, 비밀번호와 실제 콘텐츠를 암호화 합니다.


이 버그는 공격자가 다른 사람의 통신 내용을 도청하고 서비스와 사용자들의 데이터를 직접 훔치며 당사자로 가장할 수 있게 합니다. 또한 이 버그는 생산 소프트웨어 속에 2년 이상 잠복해 왔으며 유수 보안 전문가들이 ‘대참사’를 유발할 만한 것으로 지목하고 있습니다.



이를 즉각 해결하려면 감염된 시스템을 확인해서 이를 교정하고 SSL 인증을 업데이트해야 합니다. 사용자들에게는 또 비밀번호를 바꿀 것과 노출된 정보의 추적 오용 위험성을 통보할 필요가 있습니다.


비록 버그를 오늘 교정했다 하더라도 유사한 버그가 다시 표면으로 나타나던가 소프트웨어 속에 숨어 있지 않는다고 보장할 수 없습니다. 이와 유사한 영향력을 가진 취약성은 향후 다른 SSL라이브러리나 애플리케이션에서 일어날 수도 있습니다.



비록 SSL 암호가 뚫린다 해도 민감한 데이터의 노출을 방지하려면 기업체들은 비밀번호와 민감한 데이터의 거래를 보호하기 위해 ‘단 대 단 암호’(End-to-End Encryption (E2EE)와 같은 강력한 데이터 보호 솔루션이 필요합니다.


E2EE는 민감한 데이터가 취약한 웹의 메모리나 애플리케이션 서버 안에 있다 하더라도 암호화 상태를 그대로 유지하게 합니다. 이는 하트블리드 형태의 버그로부터 데이터를 보호할 뿐 아니라 소프트웨어 개발자나 데이터베이스 관리자(DBA)와 같은 내부자가 실수로 또는 고의로 민감한 데이터를 누출하는 것을 방지합니다.


실제로 싱가포르통화청(MAS)과 홍콩통화청(HKMA)은 금융기관들이 전자금융 사이트의 비밀번호와 중요한 거래 데이터를 보호하기 위해 E2EE를 채택할 것을 의무화하고 있는 추세입니다.


많은 금융기관들과 마찬가지로 다른 기관들도 통신채널을 통해 암호화된 비밀번호와 민감한 데이터를 전송하기 위해서는 SSL 소프트웨어 외에 이 같은 최상의 암호화 솔루션을 채용해야 합니다. 이는 데이터를 서버로 보내기 전에 진입점(사용자 데스크톱PC/스마트폰)에서 암호화 라이브러리와 데이터 암호화를 위한 핵심 데이터를 사용해 성취할 수 있습니다.



이렇게 하면 데이터가 웹 서버와 애플리케이션 서버에 이를 때까지 암호화된 상태를 유지할 수 있습니다. 데이터가 애플리케이션 서버에서 해독될 가능성이 있으나 비밀번호의 경우는 하드웨어 보안 모듈(Hardware Security Module, HSM) 안에서 암호화되고 입증된 상태를 유지합니다.



HSM은 미국 연방정보처리표준(FIPS)을 충족시킬 수 있는 변형 억제 하드웨어를 사용한 암호화 디바이스입니다. 이처럼 비밀번호는 진입점에서부터 비교점까지 암호화되며, 이 방식은 하트블리드 형태의 취약성을 완화시키는 것 외에 인트라넷에 있는 사람이 전송 및 저장 과정에서 아무도 비밀번호에 접근하지 못하게 할 뿐 아니라 내부 사기로부터 보호할 수 있게 합니다.


요약하면 데이터를 효과적으로 보호하려면 여러 계층으로 된 보안 솔루션과 올바른 처리 절차를 결합해야 합니다. 기관(기업)들은 새로운 웹 서버 취약성으로부터 비밀 정보를 보호하기 위해 SSL 보안 소프트웨어에만 의존할 것이 아니라 애플리케이션 계층에서 E2EE솔루션을 사용해야 합니다.

※ 출처 :  http://www.cctvnews.co.kr/atl/view.asp?a_id=9836 (CCTV NEWS 이광재 기자)




요번 SSL 취약성은 정말 심각한 것으로써, 여러분들이 사용하시는 웹서버 서비스 상(인터넷뱅킹, 카드사 홈페이지, 보험사 등등) 의 모든 패스워드 를 바꾸라고 합니다.  



우리나라도 open SSL 을 사용하는 비율이 약 70% 에 달하는 것으로 알고 있습니다. 본 보안 취약성은 google 등에 의해 발표되었지만 이미 해커들에 의한 공격이 있었으면 모든 https 상의 정보는 해커에게 넘어갔다고 볼 수 도 있을 것입니다. 저희 HSM 을 openSSL 에 연동하는 방법은 간단합니다. 


HSM 을 구매하시고 웹로직, APACHE, 톰캣 등의 웹서버는 이미 Thlaes HSM 과 연동이 되어 있습니다. 혹은 vendor define 된 SSL 을 사용중이신 경우에는 PKCS#11 을 통한 연동작업이 필요하나, Softforum 과 Initech 의 경우에는 이미 연동이 되어 있습니다.

아래는 기사에 발표된 openSSL 보안 취약점인 heartbleed 에 대한 간단한 내역입니다.


 


[하트블리드 취약점이란?]

하트블리드는 인터넷의 핵심 암호화 기술로 활용되고 있는 오픈SSL의 심각한 취약점입니다. 오픈SSL은 많은 웹사이트를 비롯해 전자메일, 인스턴트 메시징 및 VPN과 같은 애플리케이션에서 사용되고 있습니다.


이 취약점이 악용되면 사용자의 개인정보, 비밀번호뿐만 아니라 웹서버의 암호키도 탈취될 수 있습니다. 이 취약점을 이용해 정보유출이나 해킹을 시도해도 흔적이 남지 않기 때문에 피해 여부를 알 수 없는 것도 문제입니다.


취약점이 발견된 오픈SSL 버전은 오픈SSL 1.0.1~1.0.1f, 오픈SSL 1.0.2-beta, 오픈SSL 1.0.2-beta1 입니다. 이 취약점을 해결하려면 오픈SSL 공식 홈페이지에서 배포된 오픈SSL 1.0.1g 버전으로 업데이트해야 합니다.

※ 출처 :  http://outofcontrol.co.kr/?p=985&fb_action_ids=244213472433205&fb_action_types=news.publishes&fb_ref=pub-standard


 

Thales의 nShield HSM for Web Service를 통해 하트블리드(Heart Bleed) 취약점 문제를 미연에 방지할 수 있는 솔루션을 구축해 보시기 바랍니다.


[Thales HSM 사용시 장점]

■ 성 능

   - 암호화 세션 연결 시 HSM의 SSL 가속 기능을 사용하여, 암호화 세션 연결성능이 향상됩니다.


■ 가용성

   - 암호화 세션 연결시 HSM의 SSL 가속 기능을 사용하여, 업무서버에 암호화세션 연결 부하를 주지 않기 때문에, 업무 서버의 시스템 

     가용성이 향상됩니다.


■ 보 안

   - 서버의 개인키가 HSM으로 관리 되기 때문에, 키 보호 측면에서 보안성이 향상됩니다.



[SSL이 적용된 일반적인 웹서비스 구성]


[HSM을 이용한 SSL 웹서비스 시스템 구성]


[HSM과 SSL 가속기를 이용한 SSL웹서비스 시스템 구성]