TECH 으로 돌아가기
TECH HACKER NEWS 오늘 5분 읽기 34 READS

OpenSSH 10.4 릴리스 — 서버 정문을 지키는 도구, 왜 최신으로 유지해야 할까

SSH 쓰는 사람이라면 챙겨야 할 업데이트

리눅스 서버 한 번이라도 만져본 분이라면 ssh 명령어를 안 써본 사람은 없을 거예요. 원격 서버에 안전하게 접속할 때 쓰는 그 도구요. 그런데 우리가 그냥 "SSH"라고 부르는 이 기능의 실제 구현체 대부분이 바로 'OpenSSH'라는 오픈소스 프로젝트예요. 리눅스, 맥, 심지어 요즘 윈도우에도 기본으로 들어가 있죠. 전 세계 서버의 원격 접속을 사실상 이 하나가 책임지고 있다고 봐도 될 정도예요. 그런 OpenSSH가 10.4 버전을 내놨습니다.

OpenSSH가 요즘 밀고 있는 방향

10.x 버전대의 OpenSSH는 몇 가지 큰 방향을 꾸준히 밀고 있어요. 이 흐름을 알면 이번 업데이트가 왜 중요한지도 감이 와요.

첫 번째는 '양자내성 암호(post-quantum cryptography)'예요. 이게 뭐냐면, 언젠가 강력한 양자컴퓨터가 나오면 지금 우리가 쓰는 암호가 순식간에 풀릴 수 있다는 우려가 있거든요. 더 무서운 건 '지금 훔쳐서 나중에 푼다(harvest now, decrypt later)'는 공격이에요. 공격자가 지금 암호화된 통신을 그대로 저장해뒀다가, 몇 년 뒤 양자컴퓨터가 생기면 그때 복호화해버리는 거죠. 그래서 OpenSSH는 키 교환(접속할 때 서로 비밀 열쇠를 안전하게 나눠 갖는 과정)에 양자컴퓨터로도 풀기 어려운 방식을 기본값으로 넣어뒀어요. mlkem768x25519 같은 이름의 알고리즘이 그거예요.

두 번째는 '낡고 약한 알고리즘 걷어내기'예요. 대표적으로 오래된 DSA 키가 완전히 제거됐어요. 보안이 약해진 옛 방식을 계속 남겨두면 그게 곧 취약점이 되니까, 아예 지원을 끊어버리는 쪽으로 가고 있는 거죠.

세 번째는 '공격 표면 줄이기'예요. 공격 표면(attack surface)이라는 게 뭐냐면, 해커가 노릴 수 있는 '문'의 개수라고 생각하면 돼요. 문이 적을수록 안전하겠죠. 얼마 전 'regreSSHion'이라는 심각한 원격 취약점이 발견된 뒤로, OpenSSH는 접속을 처리하는 서버 프로세스를 인증 담당과 세션 담당으로 잘게 쪼갰어요. 이렇게 나눠두면 한 부분이 뚫려도 피해가 전체로 번지기 어렵거든요.

왜 굳이 최신으로 올려야 하냐면

"잘 돌아가는데 왜 굳이?"라고 생각하기 쉬워요. 하지만 SSH는 서버로 들어가는 정문이에요. 이 문이 뚫리면 그 뒤는 볼 것도 없죠. 새 버전에는 그동안 발견된 크고 작은 보안 문제의 패치가 들어가고, 위에서 말한 양자내성 같은 미래 대비도 포함돼요. 특히 몇 년씩 방치되는 사내 서버, 임베디드 장비, 오래된 배포판일수록 낡은 OpenSSH가 그대로 남아 있는 경우가 많은데, 이게 공격자에겐 아주 좋은 먹잇감이 돼요.

한국 개발자·운영자에게

운영 서버를 관리한다면 이번 기회에 ssh -V로 지금 깔린 버전을 한 번 확인해보시길 권해요. 배포판 패키지 매니저(apt, yum 등)로 업데이트하는 게 가장 안전하고요. 클라이언트와 서버 양쪽 다 챙겨야 해요. 그리고 회사 보안 정책상 낡은 알고리즘을 아직 허용하고 있다면, 이참에 sshd_config에서 약한 암호와 키 교환 방식을 정리하는 것도 좋은 습관이에요. 클라우드를 쓰더라도 접속 방식은 결국 SSH인 경우가 많으니 남 얘기가 아니거든요.

정리하면

OpenSSH 업데이트는 화려하진 않지만, 우리가 매일 기대는 인프라의 정문을 조용히 더 튼튼하게 만드는 작업이에요. 여러분은 사내 서버들의 SSH 버전, 마지막으로 언제 점검해보셨나요?


🔗 출처: Hacker News

SOURCE · HACKER NEWS
원문 전체 보기 → https://www.openssh.org/txt/release-10.4
SHARE
처리 중...