포털과 모바일 메신저 등 국내외 유명 인터넷 웹서비스에 쓰는 암호화 기술에 치명적인 보안 결함이 발견됐다. 암호화된다고 믿고 입력한 각종 사용자 정보가 모두 해커 손에 넘어갔을 가능성이 높다.
9일 정보보호 업계는 인터넷에서 각종 정보를 암호화할 때 쓰는 오픈SSL에 ‘하트 블리드(Heartbleed)’라 불리는 심각한 보안 결함이 발견돼 주의를 당부했다.
국내외 유명 웹 서비스는 대부분 아파치 서버로 운영된다. 아파치 서버는 주로 오픈SSL로 암호화 통신을 한다. 사용자가 웹 브라우저에서 입력한 로그인 정보나 각종 개인정보, 금융정보를 서버로 전송할 때 오픈SSL을 이용해 암호화한다. 하트 블리드는 암호화를 무력화하는 취약점이다.
암호화된다고 믿고 인터넷에서 주고받은 정보가 털렸을 가능성이 높다. 취약점을 악용하면 해커가 오픈SSL을 적용한 서버 메모리에서 64kB짜리 데이터 뭉치를 빼돌릴 수 있다. 이 과정을 반복하면 해커가 암호를 풀 수 있는 열쇠를 빼낸다. 열쇠를 가져가도 로그 기록조차 남지 않는다. 인터넷에서 하는 모든 활동이 도청되는 것과 마찬가지다.
하트 블리드 취약점은 2012년 나온 오픈SSL 1.0.1버전과 1.0.1f버전에서 발견됐다. 버그가 2년 넘게 방치돼 피해 규모조차 파악하기 힘들다. 모든 서버는 새로 나온 오픈SSL 1.0.1g나 배포한 보안 패치 버전을 적용해야 한다. 인증서도 재발급받고 관리자 비밀번호를 교체해야 만약의 피해를 줄일 수 있다.
전상훈 빛스캔 CTO는 “세계 유명 웹 서비스 60% 이상이 아파치 서버에 오픈SSL을 이용한다”며 “이 문제는 마이크로소프트 윈도XP 서비스 종료보다 더 심각한 엄청난 취약점”이라고 설명했다. 그는 “문제는 패치가 있어도 서비스에 신속하게 적용하기 어렵다”며 “연결된 구조와 의존 관계 등을 면밀히 고려하지 않으면 또 다른 장애가 발생한다”고 덧붙였다.
이경호 고려해 정보보호대학원 교수는 “공공기관을 비롯해 국내 유수 서비스가 오픈SSL을 쓰는데 패치가 나와도 서비스 안전성 때문에 빠르게 대처할 수 없는 상황”이라며 “전문가와 함께 서비스와 애플리케이션 영향을 분석해 빠르게 취약점을 패치해야 한다”고 말했다.
김인순기자 insoon@etnews.com