OpenSSL 취약점 OpenVPN 조심하세요.

OpenSSL 취약점 공개 이후 파장이 적지 않습니다. 역대급 보안 사고가 될 수 있다는 경고까지 올라오고 있습니다. 11월 1일에 예정된 오픈SSL 프로젝트 3.0.7 버전이 공개되는 즉시 바로 업데이트가 이루어져야하는데 전세계적으로 일사분란하게 모두 가능한 것이 아니며, 잠재된 위협이 더 있을 수 있어 보안 담당자들은 토끼 눈이 되게 생겼습니다.

2014년 Hearbleed 재현?

Hearbleed OpenSSL 취약점 논란

2014년 OpenSSL의 쓰나미급 사건이었던 Heartbleed 취약점이 터졌을때는 공격자가 해당 버그를 이용해서 피해자의 인터넷 통신 감청, 데이터를 가로채고, 당사자로 가장할 수 있는 등의 일이 가능했고, 잠복기가 2년이었다니 가장 널리 사용되는 OpenSSL을 사용하고있는 업체들은 업데이트 이후에도 방심을 할 수 없었습니다.

버그는 공격자가 다른 사람의 통신 내용을 도청하고 서비스와 사용자들의 데이터를 직접 훔치며 당사자로 가장할 수 있게 합니다. 또한 이 버그는 생산 소프트웨어 속에 2년 이상 잠복해있었다고 하니.. OpenSSL을 사용하던 기업 입장에서는 피가 바짝바짝 말랐을것입니다. 거기다 전세계적으로 네트워크 보안 분야에서 OpenSSL 점유율은 압도적이기 때문에 그 충격은 더욱 컸습니다.

이번 새로운 OpenSSL 취약점 사태가 제2의 Heartbleed가 될 것이냐의 기로에서 전세계의 해당 부서 담당자들의 마음은 어떨지 ㅜㅜ

오픈소스는 위험할까?

과거 2014년 Heartbleed 사태때 웃을 수 있었던 대표적 두 기업이 바로 애플, 마이크로소프트였습니다. 애플은 타이밍도 매우 좋았고, 결과론적이지만 훌륭한 판단이었습니다. 2011년, Apple은 개발자들에게 OpenSSL을 포함한 OS X의 공통 데이터 보안 아키텍처를 1990년대 후반의 오래된 유물이라고 설명하면서 더 이상 사용하지 않을 것이라고 말했습니다.(관련글)

그리고 마이크로소프트는 그전부터 자체 보안 프로토콜인 SSTP를 사용중이어서 메테오를 피해갈 수 있었습니다.(응 그래도 SSTP 안써)

폐쇄성은 이런 경우 도움이 되긴 하지만, 그렇다고해서 장점만 있는 것은 아닙니다. OpenSSL은 오픈소스라 전세계 보안 전문가들이 누구나 볼 수 있고 그렇기 때문에 누구나 문제점을 찾아낼 수 있었던 것 입니다. Heartbleed 역시 핀란드의 작은 보안 회사가 발견했거든요. 오픈소스의 장점과 IT 발전에 대한 기여도와 영향력은 두말하면 입아프니 넘어가도록 하겠습니다.

Wireguard, Lightway 도입은 신의 한수

와이어가드, 라이트웨이 프로토콜 보안

OpenvpnSSL 기반 VPN이며 OpenSSL 라이브러리를 사용합니다. 그럼 OpenSSL을 사용하지 않는 프로토콜은 이번 사태에서 안전하다는 뜻이 됩니다. Wireguard 프로토콜을 일찍 도입하거나 와이어가드를 더 안전하게 수정해서 사용한 VPN 기업들은 어깨를 펼 수 있게 되었네요. 우리는 안전하다! 라고 이야기 할 수 있으니까요. 타이밍이 참 좋았습니다. 많은 업체들이 작년부터 본격 도입을 하기 시작했거든요. (VPN 프로토콜 3대장)

그럼 OpenSSL 패치하면 끝이고 다른 애들은 괜찮나?

점유율이 높고 많이 쓰일수록 공격 대상이 되기도 쉽습니다. 인터넷에 존재하는 대부분 컴퓨터 바이러스 및 랜섬웨어들이 윈도우 유저가 타겟인것과 마찬가지 입니다. OpenSSL과 OpenVPN이 2014년 보안참사 이후에도 지금까지 탄탄한 포지션을 유지하고 있는것은 운이 아닙니다. 사람이 만든 모든 것에는 약점이 있고, 문제는 언제든지 생길 수 있습니다.

보안 전문가들은 OpenSSL 패치를 완료한 뒤에 다른 문제가 될만한 요소들을 찾는것이 남은 숙제라고 합니다. 코드가 수십만줄이라 꽤 많은 시간과 노력이 필요할 것으로 보입니다.

이와 관련해 코드수가 대폭 줄어든 4천줄정도밖에 되지않는 Wireguard와 2천줄 정도인 Lightway는 더 빛을 발할 수 밖에 없는 상황입니다. 적은 코드수는 적은 공격 범위를 제공하고 유지보수가 훨씬 빠르고 쉽기 때문입니다.

OpenSSL 취약점 사태 우리는 뭘 해야 하나?

사실 우리같은 일반 유저들은 할 것도 없고, 그다지 걱정할 것도 없습니다. OpenSSL이 구글, 페이스북 등 글로벌 빅테크 기업 뿐 아니라 금융기관 등 중요한 곳에서도 상당히 많이 쓰이기 때문에 촉각이 곤두설 수 밖에 없는 것 입니다.

저는 VPN을 메인으로 다루는 일반인 블로거라 더 깊은 지식을 드리지 못하고, OpenVPN과 관련이 있다는 정도만 말씀드리며 제가 입이 닳도록 가장 많이 추천드렸던 ExpressVPN은 자체 프로토콜인 Lightway를 만들면서 WolfSSL를 사용해 이번 사태를 깔끔하게 피해갔고, NordVPN 역시 Wireguard를 좀 더 안전하게 자사 대량 서비스에 맞춘 NordLynx 프로토콜이 메인이며 다른 유명 VPN들도 Wireguard를 선택할 수 있게 올려놨기 때문에 우리는 그냥 안전한 것을 쓰면 된다는 것을 말씀드리고 싶었습니다.

올해부터 특별한 일이 없는한 NordVPN이 가성비 압살 TOP이고, 토렌트까지 전방위 최고를 쓰실 분은 ExpressVPN 두가지만 보시면 됩니다. Surfshark는 네덜란드로 본사를 옮긴점도 있지만 지금 NordVPN 가격이 너무나 좋아서 가성비의 왕좌도 사실상 노드입니다.

6 Comments

  1. 안녕하세요 넷핵님 질문좀 여쭤봐도 될까요? 제가 express vpn 사용중인데 ip 테스트하는 사이트중에 https://ipleak.net/ 여기에서 테스트를 하는데 사이트중앙부분에 DNS Addresses – 10 servers detected, 53 tests 이런식으로 나오는칸있잖아여 거기에
    맨날 그러는건 아닌데 DNS Addresses – 28 servers detected, 200 tests 3 errors 이런식으로 뜨는경우가있는데 물론 중앙부분에 나오는 VPN 적용된 ip랑 국가표시 다 제대로 뜨긴했습니다(일본 시부야 서버 라이트웨이 UDP 프로토콜로 테스트했습니다 시부야 서버가 특히 error 이런게 많이뜨더라구요)이렇게 error 라고 뜨는경우는 VPN문제가아니라 사이트 오류같은거겠죠? 별건아닌데 혹시 error 이런게뜨면 VPN이 제대로 작동안되는건가 아니면 프로그램이 잘못깔린건가 해서요 제가 브레이브브라우저 시크릿모드 핑거프린팅 차단 공격적으로 이런옵션을 먹어서 그렇게 뜨는건가 싶었는데 다시 테스트해보면 또 error가 안뜨고 이래서 잘 이해가안가더라구요 ip leak 에서 테스트할때 error 이런게 가끔 떠도 별로 신경안써도 되겠죠?

    1. expressvpn ipleak test ip주소 유출 테스트 2023년
      익스프레스vpn ipleak 아이피주소 유출 테스트 2023년

      저는 이렇게 나옵니다.
      신경쓰지 않으셔도 될 것 같아요. ㅎㅎ

  2. 주인장님 익스vpn 정액제 기간이 끝나면 사용된 이메일은 탈퇴를 하시나요 아니면 그냥 두시나요?

    1. 저는 쓰고 버릴 수 있는 메일을 사용해서 그냥 놔둡니다

  3. OpenVPN은 오픈소스 치고는 코드가 너무 길어서 오픈소스의 이점을 제대로 못 활용하는 수준에다가 속도도 느려서 빠르게 대체되고 있으며 언젠가는 구시대 유물 취급 받지 않을까 생각합니다. Wireguard는 프라이버시면에서, Lightway는 성능 최적화면에서 아쉬운 부분이 있는데 개선되었으면 하네요.

    1. 코드양이 어마어마해서 이번에도 고생하시는분들이 많을 것 같아요 ㅜㅜ 라이트웨이 성능은 저는 만족스럽더라구요. 서버 스위치 엄청 빠르고 웹 토렌트 속도 전부 더할나위없이 뽑아줘서 넘 이쁩니다. ㅎㅎㅎ

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다