[차한잔] [DPⓐ] 갤럭시 S3·노트 2 등에 '하트블리드' 보안결함 비상(종합)
'출시 당시 안드로이드 4.1.1' 노트 2 사용자들 특히 주의해야
(샌프란시스코=연합뉴스) 임화섭 특파원 = 최근 발견된 '하트블리드' 보안 취약점으로 전세계 정보기술(IT)업계에 비상이 걸린 가운데 상당수 안드로이드 스마트폰과 태블릿에도 이 결함이 있는 것으로 드러나 사용자들의 주의가 요망된다.
문제의 제품들은 안드로이드 젤리빈 4.1.1이 탑재된 것으로, 삼성 갤럭시 S3, 노트 2, 구글 넥서스 7 등 여러 기종이 이에 해당할 수 있다. 특히 갤럭시 노트 2 사용자들은 각별히 주의해야 한다.
이 버그를 이용하면 누구든지 특정 버전의 오픈SSL을 사용하는 웹 서버에 침입할 수 있으며 이를 통해 개인 암호화키와 사용자 이름·비밀번호·인터넷뱅킹 관련 정보 등 민감한 개인정보를 탈취할 수 있다.
연합뉴스가 조사한 결과 보안 취약점이 드러난 4.1.1이 탑재된 채 출시됐거나 4.1.1 업데이트가 제공됐던 기기 중에는 다음 스마트폰·태블릿이 포함돼 있었다.
▲ 삼성 갤럭시 S3 ▲ 삼성 갤럭시 노트 2 ▲ 삼성 갤럭시 노트 10.1 ▲ 삼성 갤럭시 탭 2 10.1 ▲ 구글 넥서스 7 ▲ 모토로라 줌(Xoom) ▲HTC 원(One) S ▲HTC 원 X
http://media.daum.net/digital/game/newsview?newsid=20140413110806544
갤럭시 S3·노트2 '하트블리드' 보안결함 비상.. 전문 해커 등장할 수도
http://media.daum.net/digital/others/newsview?newsid=20140413111505659
오바마, NSA '하트블리드' 취약점 활용 묵인 의혹
미국 버락 오바마 대통령이 국가안보국(NSA)이 최근 불거진 '하트블리드(HEARTBLEED)' 취약점을 활용하도록 묵인했다는 의혹이 제기됐다.
13일(현지시간)씨넷,뉴욕타임스등 외신은 오바마 대통령이 인터넷과 관련된 대부분 취약점을 활용해 감시활동을 수행할 수 있도록 허락했다고 보도했다.
http://media.daum.net/digital/others/newsview?newsid=20140414102006490
현재 보안패치등 대응수칙이 속속 올라오고 있기는 하지만 오픈 SSL까지 무력화시키는 역대 최악의 버그인 것은 인정할수 밖에 없는 현실이겠죠
하트블리드가 어떻게 인터넷을 망가뜨렸는가 - 그리고 다시 이런 일이 일어날 이유
2년이 지나서야 세상은 이 코드에 문제가 있다는 걸 발견했는데, 전세계 인터넷 회사들에게 엄청난 두통거리를 안겨주며, 음모론자들이 활개를 치게 만들었고, 당연하게도 우리의 인터넷에 대한 신뢰를 무너뜨린 버그였다. 이 버그는 '하트블리드(Heartbleed, 심장출혈)'이라고 명명되었고, 매우 좋지 않음을 뜻했다. 사람들은 이를 이용해 야후에서 패스워드와 유저명을 훔칠 수 있음을 보였다. 범죄자가 당신의 온라인 은행 계좌에 들어갈 수도 있다. 그리고 이론 상으로 이 버그는 NSA나 중국의 감시활동을 도왔을 수도 있다.(역자 주 : 익명의 소식통을 인용한 블룸버그의 기사에 따르면 NSA는 이 코드가 배포된지 오래지 않아 버그의 존재를 인식했지만 해킹에의 유용성 때문에 비밀로 유지했다고 한다. 관련기사)
작은 버그가 큰 문제를 일으키는 게 별로 놀라운 일은 아니다. 실제로 놀라운 것은 이 버그를 내포한 코드가 4명의 코더 팀에 의해 작성되었고, 심지어 그들 중 풀타임으로 이 업무를 맡았던 사람은 한명 뿐이란 것이다. 그렇지만 헨슨의 상황은 특수한 경우가 아니다. 이 문제는 인터넷의 디자인에 대한 더 큰 문제점을 시사한다. 인터넷의 가장 중요한 요소들 중 어떤 것은 정말 한줌의 사람들에 의해 관리되고 있고, 상당수는 보수를 제대로 받지 못 하거나 무급으로 일하고 있다. 이런 상황은 바뀌어야 한다. 하트블리드는 우리가 인터넷의 근저 인프라스트럭쳐에 더 많은 감시가 필요하다는 것을 아주 분명히 보여주었다. 재원이 풍부한 전문 엔지니어링 태스크포스가 온라인 암호화 뿐만 아니라 인터넷의 다른 많은 부분들도 감독할 필요가 있다.
슬픈 현실은 오픈소스 소프트웨어-인터넷을 광범위하게 뒤덮고 있는-는 심각한 지속가능성 문제를 겪고 있다는 것이다. 리눅스나 모질라, 아파치 처럼 잘 알려진 프로젝트들은 수억 달러의 펀딩을 누리고 있지만, 다른 중요한 프로젝트들은 필요한 만큼의 돈-혹은 인재-도 갖고 있지 못 하다. 파이어폭스 브라우저의 제작사인 모질라는 2012년 3억 달러 이상의 매출을 올렸다고 밝혔다. 하지만 OpenSSL 프로젝트를 지원하는 OpenSSL 소프트웨어 재단은 1년에 100만 달러 이상의 혜택을 누려본 적이 없다. 개발자들이 한 방에 모였던 적도 없다. 그리고 이건 일례일 뿐이다.
어떤 면에서 이는 오픈소스 생태계의 버그라 할 수 있다. 프로젝트는 개발자가 어떤 문제를 고치려고 할 때 시작된다. 그리고 개발자들이 해결책을 오픈소스화 하면, 즉각적으로 모든 이들이 사용할 수 있게 된다. 그들이 해소한 문제가 보편성이 있다면, 이 소프트웨어는 순식간에 급속도로 퍼져나갈 수 있다. 그 프로젝트를 유지보수할 사람이 있는지 없는지와 무관하게 말이다. 어떤 프로젝트는 그 자체의 중대성에 걸맞는 관심을 전혀 받지 못 하기도 한다. "사용자들은 리눅스를 보고 만질 수 있고, 브라우저도 보고 만질 수 있지만, 암호화 라이브러리에 대해서는 절대 직접 접할 일이 없습니다." OpenSSL 재단의 파트너 중 하나인 스티브 마퀘스의 말이다.
http://eggy.egloos.com/m/4015968
갤럭시S3·노트2 등 보안비상, ‘하트블리드’ 버그 방치
.
안드로이드 단말기 사용자들은 보안업체에서 만든 '하트블리드 디텍터'(Heartbleed Detector)라는 앱을 구글 플레이 스토어에서 내려받아 실행하면 해당 기기의 문제 여부를 알 수 있으나 보안 결함을 해결할 수 있는 것은 아니다.
구글은 보안 패치 정보를 제조사에 제공해 각 제조사들이 자사 단말기에 대한 업데이트 패치를 제공할 것으로 예상하고 있다. 하지만 제조사는 아직 패치에 대한 정보나 일정은 공개하지 않고 있다.
| 글쓰기 |
최선호 @hoya1715
RT @wikitree: 갤럭시 S3·노트 2 등 '하트블리드' 보안결함 드러나 http://t.co/XUKPLMCbgy 최근 발견된 '하트블리드' 보안 취약점으로 상당수 안드로이드 스마트폰과 태블릿에도 이 결함이 있는 것으로 드러나 사용자들의 주의가 요망됩니다. #갤럭시
20시간전
.
이겨울 @_wintersleepin
@whiteRevolver9 @charmin_hye 하트블리드 버그라는 건 메인 서버와 이용자 서버간에 오가는 메모리를 읽어서 그 안에 암호화된 걸 풀 수 있는 코드가 들어있을 경우 그걸 잡아낼 수 있는 버그래. 그러니까 비밀번호를 바꿔도 사실상 버그