I. OpenSSL 코드 감사
2015년 3월 9일 크립토그래피서비시스(Cryptography Services, CS)는 OpenSSL 코드 베이스 부분의 암호화 보안 감사를 실시한다고 밝혔다. OpenSSL은 보안 소켓 계층(Secure Sockets Layer, SSL) 및 전송 계층 보안(Transport Layer Security, TLS) 프로토콜의 오픈-소스 구현으로 광범위하게 사용되고 있다. 해당 소프트웨어는 ‘하트블리드(Heartbleed)’라 알려진 보안 취약점(CVE-2014-016)의 발견으로 2014년에 조사를 받았다. 비록 하트블리드 취약점 해결을 위한 패치가 신속히 공개되기는 했으나 하트블리드 및 기타 취약점은 자유-오픈 소스 소프트웨어에 대한 전 세계 네트워크의 의존도에 대해 주의를 환기시켰다.
리눅스재단의 CII(Core Infrastructure Initiative)는 OCAP(Open Crypto Audit Project)와 공동으로 CS로 하여금 해당 소프트웨어의 보안을 위해 소프트웨어를 검토토록 하였다. CS는 아이섹 파트너스(iSEC Partners), 마타사노(Matasano), 인터피더스 그룹(Intrepidus Group), NCC 그룹(NNC Group)의 컨설턴트로 구성된 암호 보안 평가 전담 팀이다. OpenSSL 감사와 관련하여, CS는 아래와 같이 언급했다.
CS는 세간의 이목이 집중된 소프트웨어의 오픈 소스 감사를 인터넷이 주목하고 있다는 것을 알고 있다. 이번 감사에서 CS는 프로토콜 플로(protocol flow), 상태 변환(state transitions), 메모리 관리(memory management)와 관련된 TLS 스택(stack)에 집중을 하고 세간에 잘 알려진 암호 알고리즘의 대부분인 바이오스(BIOs)를 조사하고 추상 구문 표기법 1(ASN. 1)과 x509 파서(parsers)에 퓨저(fuzzers)를 설정하고자 한다. 각각의 코드베이스에 대해 감사를 시행하지는 않으나 CS는 OpenSSL 엔지니어링 및 보안을 향상시키고자 하는 광범위한 노력에 있어서 이번 감사가 유용한 요소라 믿고 있다. 이는 대규모 감사이므로 CS는 OpenSSL 팀과 협업 후 초여름 정도에 예비 결과를 낼 수 있으리라 예상하고 있다.
CS가 “세계에서 가장 광범위하게 배포된 소프트웨어 중 하나”라 일컫는 소프트웨어에 대한 감사는 인터넷 전체의 보안과 FOSS 보안 툴의 미래를 위해 환영할만하다.
|
