국내 인터넷망과 네트워크 장비, 스마트폰 등 기기와 서비스에 사상 최악의 보안 취약점 ‘하트블리드(Heartbleed)’ 경계령이 내렸다.
하트블리드 취약점이 발견된 오픈SSL을 어디에 썼는지도 모르는 소프트웨어(SW) 난개발이 심각한 탓이다. 여기에 하트블리드 패치를 업데이트하려면 기존 서비스와 안전성 시험을 거쳐야 하기 때문에 빠른 대응이 힘들다. 발빠르게 대응 중인 구글·페이스북·시스코 등 글로벌 기업과는 대조적인 양상이다.
하트블리드는 인터넷에서 각종 정보를 암호화할 때 쓰는 오픈SSL에서 발견된 보안 취약점이다. 국내외 유명 웹 서비스는 주로 오픈SSL로 암호화 통신을 한다. 사용자가 웹 브라우저에서 입력한 로그인 정보나 각종 개인정보, 금융정보를 서버로 전송할 때 오픈SSL를 이용해 암호화한다. 하트블리드는 암호화를 무력화하는 버그다. 암호화된다고 믿고 인터넷에서 주고받은 정보가 털렸을 가능성이 높다.
15일 BBC 등에 따르면 해커가 캐나다 국세청과 영국 육아 정보사이트 ‘멈스넷(Mumsnet)’을 공격한 것으로 드러났다. 광범위한 영향이 실제 피해로 나타났다. 늑대에 둘러싸인 양떼를 보호하던 초대형 울타리가 풀린 셈이다. 늑대는 힘들이지 않고 양을 닥치는 대로 잡아먹을 수 있다.
◇하트블리드에 한국 ‘뻥’ 뚫렸다
보안 전문가들은 하트블리드 취약점은 윈도XP 보안 문제와 비교가 되지 않는 비상사태라고 입을 모은다. 하트블리드 취약점은 당장 문제가 발생하는 시급한 구멍이기 때문이다. 잠재적 위협인 윈도XP보다 파장이 크다. 개인정보와 금융정보, 접속 정보가 해커에게 넘어가면 바로 금전적 피해로 나타날 수 있기 때문이다.
트렌드마이크로가 알렉사에 등록된 상위도메인 100만개를 분석한 결과 한국 도메인인 ‘.KR’이 하트블리드 취약점에 가장 많이 노출된 것으로 나타났다. 트렌드마이크로는 .KR 도메인이 취약한 것은 오픈SSL 업데이트를 하지 않기 때문으로 분석했다. 오픈소스 SW를 가져다 사용하고 제대로 업데이트하지 않는 우리 현실을 그대로 반영한다.
유명 보안 포털 헬프넷시큐리티(HNS)가 내놓은 보고서에 따르면 한국은 하트블리드 취약점에 노출된 주요 국가다. 한국은 전 세계에서 취약점에 노출된 오픈SSL 1.0.1b 버전을 가장 많이 쓰는 것으로 나타났다.
전상훈 빛스캔 CTO는 “현재 국내 기업 상당수는 이 문제 심각성을 제대로 인식하지 못한다”며 “취약점에 노출된 곳 대부분이 서비스 운영 중인데 중단하고 패치해야 한다”고 말했다. 그는 “이번 패치는 보안 담당자가 몇 년에 한번 할까 말까 한 일을 며칠 사이에 해야 하는 사안”이라며 “서비스나 장비의 연결된 구조와 의존 관계 등을 면밀히 고려하지 않으면 또 다른 장애가 발생한다”고 설명했다.
◇웹과 연결된 모든 기기와 서비스에 구멍
하트블리드 취약점은 인터넷을 이용하는 모든 기기와 서비스에서 나타난다. 구글과 야후 등 유명 웹 사이트는 물론이고 시스코와 주니퍼네트웍스 등이 내놓은 서버, 라우터, 스위치, 비디오카메라, 스마트폰 등 인터넷과 연결된 모든 기기에 영향을 끼친다. 매일 정보가 안전하게 전송된다고 믿었던 모든 기기와 서비스가 해당된다.
하트블리드 취약점은 2012년 나온 오픈SSL 1.0.1버전부터 1.0.1f버전에서 발견됐다. 버그가 2년 넘게 방치돼 피해 규모조차 파악하기 힘들다. 지난 2년간 누군가 당신의 스마트폰 통화와 이메일 내용을 모두 도청했을 수 있다.
최근 많이 쓰는 인터넷 전화도 예외는 아니다. 시스코가 판매한 인터넷 전화 4개 모델이 영향을 받는 것으로 알려졌다. 기업 내 영상회의시스템도 마찬가지다. 해커가 신제품 개발 계획 등 중요 회의 내용을 모두 빼돌렸을 가능성이 높다.
보안을 위해 설치한 가상사설망(VPN)도 무용지물이다. 주니퍼네트웍스가 판매한 일부 VPN이 하트블리드 취약점에 노출됐다. 국내 정보보호 기업이 판매한 VPN도 마찬가지다. 그나마 글로벌 장비 기업은 신속하게 보안 패치를 배포했지만 국내 기업은 취약점 파악에서 패치도 우왕좌왕이다. 폐업했거나 서비스가 중단된 VPN이나 보안 장비는 패치가 사실상 어렵다.
스마트폰에서 보낸 각종 기업 중요 문서도 해커가 다 들여다봤다. 구글 온라인 보안 블로그는 안드로이드 4.1.1 젤리빈이 보안 취약점에 노출됐다고 밝혔다. 삼성전자 갤럭시S3와 갤럭시노트2, 구글 넥서스7 등 여러 기종이 해당한다.
스마트폰은 제조사와 통신사가 함께 OS 업데이트를 해야 해 상당한 시일이 걸린다. 취약점이 알려지고 보안 패치가 올라왔지만 안타깝게도 공격 도구도 함께 등장했다. 발 빠르게 손쓰지 않으면 모든 정보는 눈 깜짝할 사이 해커 손아귀에 들어간다.
각 글로벌 IT 업체의 하트블리드 대응 현황 (자료:외신종합)
국내 보안 기업 대응 현황
김인순기자 insoon@etnews.com