1. /
  2. Heartbleed 취약점
  • 추가

Heartbleed 취약점

Flamer 보안 위협

Heartbleed: OpenSSL 취약점에 관한 시만텍의 정보

이 페이지의 내용은 새로운 정보가 입수되는 대로 업데이트될 예정이므로 정기적으로 확인하시기 바랍니다.

최신 업데이트

업데이트 구독 RSS 피드
2014년 4월 13일(15:15 PDT):
시만텍은 최신 시만텍 제품 정보에 매트릭스를 게시했습니다. 새 정보가 확인되는 대로 이 페이지를 계속 업데이트해 드리겠습니다. 시만텍 고객께서는 이 페이지와 개별 제품 지원 페이지에서 최신 정보 및 업데이트를 계속 확인하시기 바랍니다.
2014년 4월 11일(22:35 PDT):
시만텍은 Heartbleed라는 OpenSSL 취약점에 일부 시만텍 제품이 영향을 받을 수도 있음을 확인했습니다. 시만텍은 필요한 패치를 배포하기 위해 노력하는 동시에 이러한 사실을 알리고 피해를 최소화할 수 있는 해결책을 제공하는 보안 권고 사항을 고객들에게 보내기 시작했습니다. 현재까지는 이 취약점을 악용한 공격이 발견되지 않았습니다. 시만텍 고객께서는 개별 제품 지원 페이지와 이 페이지에서 최신 정보 및 업데이트를 계속 확인하시기 바랍니다.
2014년 4월 10일(15:15 PDT):
시만텍 제품 팀은 이 취약점에 영향을 받은 제품이 있는지 계속 조사 중입니다. 시만텍 제품 지원 페이지에서 제품 팀이 제공하는 최신 업데이트를 확인하시기 바랍니다. 제품 지원 페이지에서 원하는 기술 자료(KB) 문서를 구독하면 새 정보가 포함된 업데이트를 자동으로 수신하실 수 있습니다.
2014년 4월 9일(21:00 PDT):
시만텍은 공격자가 OpenSSL 오픈 소스 라이브러리의 취약한 버전을 사용하여 메모리를 읽을 수 있게 해 주는 "Heartbleed(하트블리드)"라는 OpenSSL 취약점을 인식하고 있으며 이에 대해 현재 조사 중입니다. 새로운 업데이트가 있으면 알려드리겠습니다.

상황 개요

시만텍은 공격자가 OpenSSL 오픈 소스 라이브러리의 취약한 버전을 사용하여 메모리를 읽을 수 있게 해 주는 "Heartbleed(하트블리드)"라는 OpenSSL 취약점을 파악하고 있으며 이에 대해 현재 조사 중입니다. 이러한 취약점은 인증서의 개인 키나 로그인 인증 정보와 같은 중요한 정보 및 개인 데이터에 접근할 수 있게 해 줍니다.
"Heartbleed" 또는 OpenSSL TLS '하트비트' 익스텐션 정보 공개 취약점(CVE-2014-0160)은 OpenSSL 라이브러리 중 하트비트 기능을 제공하는 구성 요소에 영향을 줍니다. OpenSSL은 SSL(Secure Sockets Layer) 및 TLS(Transport Layer Security) 프로토콜 구현 기술 중 가장 널리 사용되는 기술입니다.
자세한 내용은 시만텍 보안 연구소 블로그를 참조하십시오.

취약점 범위

  • 이 취약점은 SSL/TLS에 대한 취약점이 아닙니다.
  • SSL/TLS이나 시만텍이 발행하는 SSL 인증서에는 직접적인 영향을 주지 않습니다.
  • Open SSL 버전 1.0.1 ~ 1.0.1f를 사용하는 사용자가 영향을 받습니다.

제품 정보

어떤 시만텍 제품이 이 취약점으로 영향을 받습니까?

시만텍은 최신 시만텍 제품 정보에 매트릭스를 게시했습니다. 새 정보가 확인되는 대로 이 페이지를 계속 업데이트해 드리겠습니다. 시만텍 고객께서는 이 페이지와 개별 제품 지원 페이지에서 최신 정보 및 업데이트를 계속 확인하시기 바랍니다.

영향을 받은 서버에 인증서를 사용한 경우 회사들이 인증서를 폐기하고 재발행해야 합니까?

예. 세계 최대 인증 기관인 시만텍은 이미 영향을 받는 OpenSSL 버전을 사용하는 시스템을 패치하는 조치를 취했습니다. 또한 시만텍은 베스트 프랙티스를 따라 영향을 받는 OpenSSL 버전을 사용하는 웹 서버의 인증서 키를 재설정하였습니다. 다른 기관들도 이러한 베스트 프랙티스를 따를 것을 적극 권장합니다.

시만텍은 인증서 폐기 및 재발행에 대한 요금을 부과합니까?

OpenSSL 버그 문제를 해결과 관련하여 시만텍 인증서에는 전혀 문제가 없지만 시만텍은 기존 고객에게 무료로 인증서 교체를 제공하며 오래된 인증서는 폐기될 것입니다.

이 취약점에 대하여 시만텍 자체에서 제공하는 정보가 있습니까?

취약점에 대한 개요를 보안 연구소 블로그에서 확인하실 수 있습니다.

위험 요소를 최소화하는 방법

기업에 대한 조언
  • OpenSLL 버전을 확인하고 다음 방법 중 하나를 수행하십시오.
  • (1) -DOPENSSL_NO_HEARTBEATS 플래그를 사용하여 하트비트 익스텐션 없이 OpenSSL을 재컴파일합니다.
  • (2) OpenSSL 버전 1.0.1 ~ 1.0.1f를 사용하는 경우 최신 수정 버전의 소프트웨어(1.0.1g)로 업데이트합니다.
  • 수정 버전의 OpenSSL로 업데이트한 후 인증서를 발행한 인증 기관에 인증서 교체를 문의하는 것을 좋습니다.
  • 기업들은 감염된 서버 메모리에서 노출되었을 수 있는 엔드유저 암호를 재설정하는 것을 권장합니다.
개인 사용자에 대한 조언
  • 귀하가 방문한 사이트가 취약한 버전의 OpenSSL 라이브러리를 사용한 경우 타인에게 암호와 같은 귀하의 민감한 데이터가 노출되었을 수 있습니다.
  • 귀하가 이용하는 벤더나 회사들로부터 관련 공지 사항이 있는지 확인합니다. 벤더로부터 암호를 변경하라는 연락이 오면 즉시 변경합니다.
  • 암호를 업데이트하라는 피싱 이메일이 있을 수 있으니 주의합니다. 위장 웹 사이트로 가지 않도록 공식 사이트 도메인만 이용합니다.
  • 신뢰할 수 있는 웹 사이트 및 서비스만 이용합니다. 이러한 사이트들은 취약점 문제에 즉각적으로 대처했을 가능성이 높습니다.
  • 비정상적인 거래가 없는지 은행 및 신용 카드 명세서를 잘 확인합니다.