국내 IT·보안업계 '하트블리드' 경계령…"비번 교체·패치 업데이트 완료" 

국내 IT·보안업계 '하트블리드' 경계령…"비번 교체·패치 업데이트 완료" 인터넷에서 사용되는 보안기술인 ‘오픈 SSL(Secure Sockets Layer)’에 ‘하트블리드(Heartbleed)’라는 신종버그가 발견돼 국내에 비상이 걸렸다. 전문가들은 이 신종버그를 “인터넷 역사상 최악의 버그”로 평가하고 있다.

미국 CNN머니 등 주요 외신들은 9일(현지시각) 인터넷에서 각종 정보를 암호화하는데 쓰는 핵심 기술인 ‘오픈SSL’에서 ‘하트블리드’라는 보안 결함이 발견돼 신용카드 번호와 사용자 아이디, 비밀번호 등 개인정보들이 노출될 가능성이 높다고 경고했다.

이 버그를 발견한 핀란드의 인터넷 보안회사 ‘코데노미콘’ 연구진은 특정 버전의 오픈 SSL을 사용하는 웹 서버에 침입이 가능해 개인정보도 훔칠 수 있다고 지적했다.

취약점이 발견된 오픈 SSL 버전은 ‘OpenSSL 1.0.1’부터 ‘1.0.1f’ 및 ‘OpenSSL 1.0.2-beta’와 ‘1.0.2-beta1’ 등이다.

오픈SSL은 사용자와 서버 사이에 오고가는 데이터를 암호화하는 소프트웨어로 금융거래시 주민등록번호나 공인인증서 암호 등을 암호화해 해킹의 피해를 방지하는 기술이다. 인터넷 쇼핑을 할 때 사용자가 웹브라우저로 해당 사이트에 접속해 계좌번호와 비밀번호, 신용카드 번호와 유효기간 등을 입력하게 된다. 이 과정에서 하트블리드는 개인과 금융 정보가 서버로 전송될 때 거치는 암호화의 과정을 무력화 시키는 결함을 말한다. 하트블리드는 언제 어디에서 누가 해킹을 했는지 그 흔적을 남기지 않는다.

이 문제가 심각한 것은 현재 전 세계 웹사이트의 3분의 2 가량이 오픈SSL 기술을 채택하고 있다는 것이다. 구글, 야후, 네이버 등 거대 포털사이트는 물론 카카오, 페이스북, 드롭박스 등 메신저, 소셜네트워크서비스(SNS) 등 개인정보를 수집하는 업체들 역시 오픈SSL을 방패로 믿고 사용해 왔다.

데비안 위지(debian wheezy), 우분투(Ubuntu), 센트(Cent)OS, 페도라(Fedora), 오픈(Open)BSD, 프리(Free)BSD, 넷(Net)BSD, 오픈수세(OpenSUSE) 등의 OS를 비롯해 웹서버인 아파치(Apache), 엔진X(nginx)에도 오픈SSL 기술이 사용되고 있다.

현재 오픈SSL을 사용하는 네이버, 다음, 카카오 등 국내 주요 인터넷서비스 기업들은 해당 취약점에 대한 업데이트를 마친 상태다. 보안업체 안랩 역시 패치 업데이트를 통해 고객 피해방지에 앞장서고 있다.

네이버 관계자는 “9일을 기점으로 회사 내 모든 서버와 PC에 패치 업데이트를 완료했다”며 “모니터 만일 사태를 대비하기 위해 전산부서에서 지속적인 모니터링을 하고 있는 상황”이라고 말했다.

안랩 관계자는 “하트블리드는 패치를 통한 업데이트 진행할 경우 아무런 문제가 발생하지 않는다”며 “조금이라도 더 빨리 많은 기업과 국민들에게 패치를 보급하기 위해 적극적으로 상황을 알리고 패치를 업데이트 하는 상황”이라고 말했다.

페이스북이나 야후 등 외국계 인터넷 회사들도 비상이 걸렸다. BBC는 각 인터넷 회사들이 자사 웹페이지를 점검하고 대책을 마련하느라 비상이 걸렸다고 보도했다. BBC에 따르면 바클레이스, 이베이, 에버노트, HSBC, 링크드인, 트위터 등은 이 버그에 취약하지 않다고 밝힌 반면, 아마존과 페이스북, 텀블러, 야후는 버그에 취약하다고 밝혔다. 이에 페이스북과 야후, 텀블러는 사용자들에게 개인 비밀번호 등을 바꾸라고 권했다.

정현철 한국인터넷진흥원(KISA) 침해사고분석단장은 “이번 취약점을 악용하는 공격 코드가 공개돼 당분간 공격이 증가할 것으로 우려된다”며 “오픈SSL을 사용하는 기업이나 기관은 중요 정보가 유출되는 것을 막기 위해 즉시 업데이트를 해야 한다”고 당부했다.