하트블리드 예방법 나올까…정부 18일 머리 맞댄다

2014-04-17 14:57
국내 kr 도메인 하트블리드 취약성에 가장 큰 피해 예상돼 대응책 수립 시급

아주경제 장윤정 기자 = 인터넷 사상 가장 치명적 보안위험으로 꼽히는 '하트블리드(오픈 SSL)' 취약성에 대해 정부가 뒤늦게 대응에 나설 예정이다. 

‘하트블리드’ 버그에 대한 국내 대처가 지지부진하다는 지적이 나오는 가운데 정부가 18일 미래창조과학부에서 관계 부처 합동회의를 열고 대응책 마련을 논의한다.

미래부는 18일 오후 1시  국가정보원, 안전행정부, 금융위원회 등 관계 부처 실무자들이 참석하는 회의를 열고 하트블리드 버그에 대처하기 위한 협조체제를 구축할 계획이라고 밝혔다. 

미래부는 이 자리에서 하트블리드의 위험성 및 국내 현황을 공유하고 한국인터넷진흥원(KISA)을 활용한 관계 부처 보안패치 기술 지원 방안을 소개한다.

관련 전문가들은 "이번 하트블리드 버그의 대처 과정에서 각 부처가 사실상 서로의 사정을 거의 몰라 민첩한 대응에 실패했다"며 "뒤늦게라도 합동대응 회의를 개최하고 대응체계 논의를 시작한 것은 다행스러운 일"이라고 말했다. 

현재 미래부는 KISA를 통해 오픈 SSL 취약성에 대해 보안 공지를 하고 오픈 SSL 1.0.1g버전으로 업데이트할 것을 권고했다. 자체 보안조치가 어려운 중소기업 등은 KISA 118로 문의하면 패치에 대한 기술지원과 취약점 점검을 받을 수 있다는 것. 

그러나 230여개가 넘는 국내 웹 사이트에서 어떤 부분이 오픈 SSL 취약점에 노출되어 있는지, 어떻게 패치해야하는지 알아내는 것은 쉽지않다. 

하트블리드 결함이 발견된 오픈SSL 암호화 기술은 웹서비스뿐 아니라 네트워크 장비 및 각종 보안장비, PC 소프트웨어, 모바일 운영체제(OS) 등 다양한 영역에 광범위하게 사용되기 때문이다.

김현준 파이어아이 상무는 "하트블리드 취약성은 자동 패치 적용 등으로 한꺼번에 간단히 해결할 수 있는 취약성이 아니다"라며 "운용체제(OS)에 패치를 적용해서 관련 애플리케이션에 영향을 주지 않는지 하나하나 확인한 후 배포하는 등 인력과 투자가 상당히 소요되기 때문"이라고 말했다. 
 
상황이 이와같이 심각한 가운데 글로벌 보안업체들은 하트블리드 버그에 가장 취약한 나라가 한국이 될 것이라는 자료를 속속 내놓고 있다.

보안전문기업 트렌드 마이크로는 세계 주요 웹사이트 100만 개를 분석한 결과 ‘.kr’로 끝나는 한국 도메인의 경우 조사대상 사이트의 56%가 하트블리드 버그 취약점에 노출된 것으로 나타났다고 밝혔다.

이는 세계 여러 나라 도메인 중 가장 높은 비율이다. 

국내 금융도 위험하다. 국내 금융사 12곳에서 최근 보안 취약점이 발견된 암호화 프로그램 오픈SSL을 여전히 사용 중인 것으로 확인됐다.

최근 금융감독원은 금융사에 대한 공동 보안관제를 담당하는 금융ISAC이 142개 금융사를 조사한 결과, 12개사에서 취약한 버전의 오픈SSL을 사용 중인 것으로 나타났다고 밝혔다. 이 중 10개사는 취약점에 대한 조치를 완료했고, 2개사는 이번 주 중으로 조치를 완료할 계획이라고 설명했다.

한편 실제 하트블리드에 대한 피해 사례도 속속 등장했다.

지난 14일 캐나다 국세청이 하트블리드 버그로 해킹을 당해 사회보장번호 900여개를 도난당했다고 보도했다. 영국에서도 150만명의 회원을 둔 대형 육아 사이트 멈스넷(Mumsnet)이 뚫렸다.

전문가들은 "하트블리드에 대한 피해가 실제 나타나고 있는 가운데 국내에서 큰 피해가 우려된다. 지금이라도 전략적으로 대책을 수립하고 사고를 방지하도록 행동에 나서야할 것"이라고 지적했다.