최근 보안 통신 규약인 SSL 3.0 이하 버전의 취약점으로 인해 보안상의 이슈가 지속적으로 발생하고 있습니다.
이번 취약점은 구글 소속 연구원들에 의해 발견된 취약점으로 POODLE ( Paddiong Oracle On Downloaded Legacy Encryption)으로 명명 되었습니다.
아래 내용을 확인하시고 가이드 라인에 맞게 적용 하신후 안전한 서비스를 이용하시기 바랍니다.

개요
•SSL 3.0의 CBC 모드를 사용할 경우 중간자 공격(MITM)을 통해 암호화된 데이터를 복호화할 수 있는 취약점(CVE-2014-3566)이 발견됨 [1,2]
•SSL 3.0은 1996년도에 공개된 버전으로 일부에서 하위 호환성을 위해 제공하고 있으나 보안이 취약하여 사용하지 않는 것을 권고 [1,2]

해당 시스템
•영향 받는 제품 및 버전
◦SSL 3.0 프로토콜을 사용하는 어플리케이션 및 시스템

해결 방안
•해당 취약점에 영향 받는 버전 사용자
◦SSL 3.0을 사용하는 어플리케이션 및 시스템의 설정에서 SSL 3.0 지원 비활성화
◦SSL 3.0을 지원해야하는 환경의 경우 TLS_FALLBACK_SCSV 프로토콜 확장기능을 사용하여 공격 예방(POODLE 공격)


용어 설명
•SSL(Secure Socket Layer) : 네트워크 데이터를 암호화하기 위해 사용하는 프로토콜들의 집합
•CBC(Cipher Block Chaining) : 블록 암호화 알고리즘을 사용하여 가변 길이의 데이터를 암호화하는 방식
•POODLE(Padding Oracle On Downgraded Legacy Encryption) : SSL 3.0의 CBC 모드를 공격하는 방법

기타 문의사항
•한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[관련뉴스]
[1] http://www.zdnet.co.kr/news/news_view.asp?artice_id=20141015090101
[2] http://news.imaso.co.kr/134361

[참고사이트]
[1] https://www.openssl.org/~bodo/ssl-poodle.pdf
[2] https://www.us-cert.gov/ncas/alerts/TA14-290A/

[가이드라인]

- 클라이언트 (일반 PC대응)
http://blog.softmail.co.kr/m/post/1003


- 웹서버 (서버운영/관리자)
http://blog.alyac.co.kr/183