Google Adsense Side (160x600)



OpenSSL의 Heartbleed 사태를 보니 썩은 사과

작년 말 운좋게 참석한 애플의 개발자 컨퍼런스의 마지막 보안 관련 세션이 떠오르네요.
(세션은 참 졸렸죠. 그야말로 특별하게 따분한 대학교때 강의로 돌아간 느낌)


거기서 OpenSSL하고 애플의 자체 구현(iOS나 OSX 네이티브)을 비교하면서, OpenSSL이 위험할 수도 있다고 하면서, 퍼포먼스가 우수하고 더 안전한 자체 구현을 쓰라고 했었는데...

그 이후 잊고 있었는데 이런 사태가 터지니 기억이 나네요.
약간의 소름이 돋으면서.

...

하지만 지금 작업중인 프로젝트는 안드로이드도 지원하기 위해 OpenSSL을 안쓸수도 없다는 것은 함정.




덧글

  • 미라스케 2014/04/14 02:27 #

    내용과 관계없는 말씀입니다만,
    제 온라인 관계서 하트브리드 얘기를 하신 유일하신 분이십니다.

    우리나라는 잘 대처하고 있는지 궁금하군요.
  • 오오 2014/04/14 02:31 #

    그러나 전 한국이 아니라....대처를 잘 하고 있을까요? 글쎄요. 기본적인 보안 의식부터 좀 의심스러워서요.
    사실상 관련된 거의 모든 오픈소스들이 OpenSSL에 의존하고 있다보니 타격이 매우매우 크겠죠. 엔프로...트 이런데는 뭘 쓰는지 모르겠지만.
  • 미라스케 2014/04/14 02:33 #

    그러고 보니 오오 님도 우리나라 거주자가 아니셨죠; 실례했습니다;;

    저도 심히 걱정됩니다. 말씀하신 것과 완전히 똑같이요.
  • 천체관측 2014/04/14 11:11 #

    현재 .,,,우려되는 건 일단 구글,페이스북,야후(인스타그램,텀블러),GitHub 쓰고 있으면 바꾸라는 권고가 있었습니다
    가장 큰 문제는...우리나라에 Apache+nginx 엔진 쓰는곳이 많은데 여기에 기본 패키지로 OpenSSL이 같이 껴있거나 사용되거 있을 확률이 높다는 거죠 ㅠㅠ
  • nemo 2014/04/14 11:35 #

    한국은 보안 의식이 매우 저조하여 문제의 코드가 추가된 2012년 이후의 라이브러리로 '업데이트하지 않았을 가능성'도 꽤 높을 것 같습니다.
    다행인지 불행인지...-_-;;;
  • 오오 2014/04/14 11:55 #

    업데이트? 그게 뭐죠? 먹는건가?
    어찌보면...다행이죠.
※ 로그인 사용자만 덧글을 남길 수 있습니다.