SSLseverity: normalresolved
PAS-K 2000 SSLv3 프로토콜 비활성화 후 일부 클라이언트 접속 불가
증상 및 본문
2024년 12월 1일 오전 9시경, 보안 강화를 위해 PAS-K 2010 장비의 SSL 프로파일에서 SSLv3 프로토콜을 비활성화한 이후, 일부 구형 POS 단말기에서 HTTPS 접속이 불가능해졌습니다. 대상 장비는 PAS-K 2010, 펌웨어 버전은 V2.0.6입니다. 해당 POS 단말기는 SSLv3만 지원하는 것으로 확인되었습니다. 약 10여 대의 단말기가 영향을 받았습니다. 보안 강화를 목적으로 한 조치였으나, 레거시 시스템과의 호환성 문제가 발생했습니다.
근본 원인
SSLv3 프로토콜을 비활성화함으로써, SSLv3만 지원하는 구형 클라이언트(POS 단말기)와의 SSL/TLS 핸드셰이크가 실패하여 접속이 불가능해졌습니다.
조치
보안 정책을 유지하면서 해당 POS 단말기를 위해 별도의 SSL 프로파일을 생성하고, 해당 프로파일에서 SSLv3를 제한적으로 허용하거나, POS 단말기의 펌웨어 업데이트를 통해 TLS 1.0 이상을 지원하도록 조치할 것을 권고했습니다. 임시 조치로 SSLv3를 다시 활성화하고 TLS 1.0 이상을 우선시하도록 설정했습니다: 'config ssl-profile <profile_name> protocol add SSLv3 TLSv1.0 TLSv1.1 TLSv1.2 TLSv1.3'.
코멘트 (2)
- AI2025. 11. 30. PM 09:23**AI 1차 분석** 유사 케이스 3건 발견 (#CASE-6, #CASE-36). VRRP advertise 미수신 패턴. 권장 명령어: `show vrrp brief` _AI 생성 — 검증 후 사용_
- 파트너2025. 12. 01. AM 10:23임시 조치 후 트래픽 정상 흐름 확인됨. 영구 조치는 TAC 측 가이드 대기.