최악의 버그 '하트블리드' 등장에 관련 업계 긴장 '대응 수칙' 속속

2014-04-14 11:00
오픈SSL 보안 취약성 '흔적없이 암호키 없애' … 갤럭시S3 노트 사용자 주의 시급

아주경제 장윤정 기자= 흔적 없이 암호키를 해제하는 오픈 SSL 취약성인 '하트블리드(HeartBleed)' 등장에 전 세계가 긴장하고 있다. 

특히 관련전문가들은 IT 기술이 발달돼 있는 국내의 경우 이 취약점으로 인한 위험도가 매우 높을 것이라며 전 방위 예방을 주문했다. 

​'사상 최악의 인터넷 보안 위협'으로 평가받는 하트블리드는 ‘오픈SSL’의 암호화 키를 무력화시키는 일종의 버그다.  오픈 SSLL은 인터넷을 기반으로 사용자와 서버 사이에 오고 가는 데이터를 암호화하는 기술로, 주민등록번호나 공인인증서 암호 등을 암호화해 해킹의 피해를 방지한다.

그러나 ‘하트블리드(Heartbleed)’ 취약점을 이용하면 인터넷 쇼핑이나 이메일 등을 사용할 때 사용자가 웹브라우저로 해당 사이트에 접속해 사용자 이름과 비밀번호, 은행계좌번호, 신용카드 번호, 유효기간 등을 입력하고 이 정보가 서버로 전송될 때 거치는 암호화의 과정을 무력화시켜 민감한 개인정보가 유출될 수 있다.

더 큰 문제는 언제 어디에서 누가 해킹을 했는지도 확인이 불가능하다는 점이다.

취약점이 발견된 오픈 SSL 버전은 ‘OpenSSL 1.0.1’부터 ‘1.0.1f’ 및 ‘OpenSSL 1.0.2-beta’와 ‘1.0.2-beta1’ 등으로, 현재 전 세계 웹사이트의 3분의2가량이 오픈SSL 기술을 채택하고 있다.

암호화 키는 한마디로 '마스터 키'와도 같아 해당 시스템의 어떤 암호도 다 풀어낼 수 있기 때문에 각종 기밀, 개인정보 등이 고스란히 노출돼 있는 것이나 마찬가지인 셈이다.

특히 이 취약점은 침입이나 정보 탈취에 대한 어떤 흔적도 남기지 않아 지금 정보가 새고 있는지, 암호화 키가 안전한지조차 확인이 불가능하다. 전 세계 보안 전문가들이 혼란에 빠진 이유도 이 때문이다.

한국인터넷진흥원 취약점분석팀은 "오픈SSL 취약점으로 인해 어떤 사고가 일어났다고 단정하기는 어렵다. 사실 확인도 할 수 없다"면서 "다만 이 취약점이 노출된 이상, 해커들이 이 취약점을 노리고 정보유출을 시도할 가능성이 매우 높기 때문에 신속한 패치를 통해 취약점을 보완해야 한다"고 경고했다.

한국인터넷진흥원은 지난 10일 긴급 하트블리드 관련 긴급 업데이트를 당부했다. 

하트블리드 취약점을 해결하기 위해서는 오픈SSL 공식홈페이지(www.openssl.org)에 접속, 지난 7일에 배포된 오픈SSL 1.0.1g 버전으로 업데이트를 해야 한다. 오픈SSL은 주로 공개용 웹서버 프로그램인 아파치(Apache) 또는 엔진엑스(Nginx)와 함께 사용되는 경우가 많아 이를 사용하는 경우 특히 오픈SSL의 버전을 확인하고 조치해야 한다.

정현철 KISA 침해사고분석단장은 “이번 취약점을 악용하는 공격 코드가 공개돼 당분간 공격이 증가할 것으로 우려되며, 오픈SSL을 사용하는 기업이나 기관은 중요 정보가 유출되는 것을 막기 위해 즉시 업데이트를 해야 한다”고 당부했다.


글로벌 보안업체 팔로알토네트웍스는 ‘하트블리드’ 취약점 대응 보안 수칙을 발표했다.

△모든 서버를 최근 배포된 오픈 SSL 최신 패치 버전(1.0.1g)으로 업데이트하고 보안 패치 적용 이후 SSL 프라이빗 키를 즉시 교체하기 △기업 내에서 사용 중인 내부 애플리케이션을 모두 점검하고 최신 버전으로 업데이트하기 △파트너사 및 벤더사들의 시스템 또한 모두 패치 및 업데이트가 이루어졌는지 확인하기 △인터넷 서비스 및 내부 서비스를 이용하는 임직원들의 패스워드를 점검하고, 취약점에 대한 대처가 완료된 후 모두 패스워드를 변경할 수 있도록 조치하기 등이다.

특히 상당수 안드로이드 스마트폰과 태블릿에도 이 결함이 있는 것으로 드러나 사용자들의 주의가 요망된다.

하트블리드 취약성은 안드로이드 젤리빈 4.1.1이 탑재된 제품에서 나타날 수 있다. 삼성 갤럭시 S3, 노트 2, 구글 넥서스 7 등 여러 기종이 이에 해당할 수 있다. 특히 갤럭시 노트 2 사용자들은 각별히 주의해야 한다.

구글은 보안 패치 정보를 제조사에 제공했으며, 이에 따라 각 제조사들이 문제가 될 수 있는 자사 단말기에 대한 업데이트 패치를 내놓을 것으로 예상된다.

다만 아직 패치가 배포되지는 않고 있다. 이는 패치 배포가 제조사의 권한과 책임이기 때문이다. 
 

하트블리드 취약성으로 인해 △삼성 갤럭시 S3 △삼성 갤럭시 노트 2 △삼성 갤럭시 노트 10.1 △삼성 갤럭시 탭 2 10.1 △구글 넥서스 7 △모토로라 줌(Xoom) △HTC 원(One) S △HTC 원 X 등의 단말기가 영향을 받을 수 있어 해당 기종 사용자들의 주의가 요망된다.