'하트블리드' 공포감 확산…국내는 안전한가

[서비스 기업 보안패치면 우선 '안심'…기업 내부시스템 2차 시스템이 '관건']

사상 최악의 보안 버그로 불리는 '하트블리드(오픈 SSL)' 취약점으로 인한 해외 피해사례가 나오면서 국내에서도 이로 인한 피해 가능성에 우려감이 커지고 있다.

◇'하트블리드' 취약점 공격 피해 첫 보고돼

오픈SSL이란 웹브라우저와 서버간 통신을 암호화해주는 프로그램. 세계 웹사이트의 절반 이상이 채택될 정도로 광범위하게 활용되고 있다.

지난 주 일부 버전(OpenSSL 1.0.1 ~ 1.0.1f 및 OpenSSL 1.0.2-beta, 1.0.2-beta1)에서 서버에 저장된 개인정보와 비밀번호, 주고받은 문서 등 메모리 데이터를 외부에서 아무런 제한 없이 빼 갈 수 있는 허점이 발견됐다. 핀란드 보안업체인 코데노미콘 연구진에 의해 지난 7일(현지 시각) 처음 발견됐다.

문제는 이 취약점이 2년 넘게 방치된데다 데이터를 가로챈 흔적도 남지 않기 때문에 피해 발생여부조차 파악하기 어렵다는 것. 미국 국가안보국(NSA)가 사전에 이 취약점을 악용해 정보수집 활동에 이용했다는 의혹마저 제기됐던 상황이다.

오픈SSL을 기반으로 서비스를 운영 중인 IT(정보기술) 기업들도 비상이 걸렸다. 구글, 야후, 페이스북, 트위터 등 글로벌 인터넷 기업들이 웹서버에 보안패치를 적용했다. 해외 주요 해외 은행들도 일제히 보안패치에 돌입한 것으로 알려졌다.

이런 가운데 하트블리드 취약점으로 인한 피해 사례가 속속 보고되고 있다. 캐나다 국세청이 이 취약점을 이용한 공격으로 사회보장번호 900여개를 유출된 것. 영국에서는 150만명이 가입한 육아사이트 '멈스넷'이 해킹을 당했다.

◇"내부 시스템 보안패치 서둘러야"

국내 인터넷 기업과 금융권, 공공기관들 역시 오픈SSL을 광범위하게 사용해왔다. 때문에 우리나라 역시 안전지대가 아니라는 게 대체적인 보안 전문가들의 진단이다. 그렇다고 이용자 입장에서 지나치게 불안감을 가질 필요도 없다는 지적도 나오고 있다.

우선 오픈 SSL 취약점을 이용한 공격은 지난 9일 배포된 오픈SSL 버전으로 업데이트하면 충분히 예방할 수 있다. 정부는 지난 8일 이미 국내 모든 인터넷 관련 기업들을 대상으로 오픈SSL의 보안패치를 적용해줄 것을 공지한 상태다. 이후 오픈SSL를 사용하는 주요 인터넷기업과 금융기관들이 이미 서비스에 보안패치를 적용한 것으로 정부측은 파악하고 있다.

윈도 업데이트와 같이 일반 이용자 PC 프로그램의 취약점이 발견될 경우, 전체적인 보안패치가 완료되는데 많게는 1개월 이상 걸릴 수밖에 없지만, 이번 취약점은 기업 서버 담당자의 몫이기 때문에 패치속도가 상대적으로 빠르다.

온라인 금융거래시 오픈SSL을 통한 채널보안에 주로 의존해온 해외 은행권과는 달리, 국내의 경우 공인인증서를 비롯해 2중3중의 독자적 보안체계를 갖추고 있었던 만큼 이번 취약점으로 인한 온라인 금융 피해에서도 상대적으로 안전한 구조라는 주장도 나오고 있다.

미래창조과학부 관계자는 "아직까지 이렇다 할 피해사례는 접수되지 않았다"며 "기업들의 보안 업데이트 확산에 주력하고 있다"고 밝혔다. 미래부는 이용자들도 주기적으로 비밀번호 등을 바꿔주는 것이 안전하다고 권고했다.

그렇다고 방심은 금물이다. 웹서버에 보안패치를 적용하는 것 만으로 서비스에 대한 공격은 일차적으로 예방할 수 있지만, 오픈SSL 기술이 적용된 기업 내부 시스템과 중소 웹사이트도 적지 않기 때문이다. 특히 공개용 웹서버 프로그램인 '아파치'와 '엔진엑스' 등과 함께 사용되는 경우도 상당수 있는 것으로 확인됐다.

전상훈 빛스캔 기술이사는 "취약점 있던 오픈SSL 버전이 탑재된 내부 시스템의 경우, 직접적인 타깃이 아니더라도 향후 해커가 이 취약점을 이용한 공격에 나설 개연성이 있다"며 "이들 시스템 역시 보안패치가 적용돼야하는데 외주 위탁으로 시스템을 맡긴 경우도 많고 서버 담당자가 바뀐 경우도 많은 상황에서 이를 일일이 체크하기가 쉽지 않을 것"이라고 지적했다.

성연광기자 saint@

<저작권자 ⓒ '돈이 보이는 리얼타임 뉴스' 머니투데이, 무단전재 및 재배포 금지>