인터넷 보안 결함에 전세계 발칵… 美-加 개인정보 유출돼 패치 적용
한국 정부-금융권 일주일째 ‘태평’

‘인터넷 역사상 최악의 보안 결함’ ‘인터넷 시대의 재앙’으로 평가받는 ‘하트블리드(Heartbleed)’ 버그가 최근 발견됐다. 전 세계 인터넷업계가 발칵 뒤집어진 가운데 해외에서 이로 인한 해킹 피해 사례가 속속 공개돼 위기감이 더욱 커지고 있다. 그러나 국내에서는 버그 발견 일주일이 지나도록 민간 기업은 물론이고 정부 및 금융권 웹사이트 상당수가 이에 대한 보안 조치를 하지 않은 것으로 나타났다. 한국은 세계 최고 수준의 인터넷 고도화가 이뤄진 나라로 북한의 조직적인 해킹 위협까지 상존해 향후 심각한 보안사고로 이어질 위험이 높다는 지적이 있다.

이달 7일(현지 시간) 핀란드 보안업체가 발견해 처음 세간에 알려진 하트블리드 버그는 인터넷상에서 문자나 문서를 주고받을 때 이를 암호화해주는 기술(오픈SSL)에서 발견된 치명적 결함이다. 오픈SSL은 전 세계 웹사이트의 3분의 2가량이 쓰는 기술이다. 이번 결함을 악용하면 특정 오픈SSL 버전이 적용된 사이트 서버에서 오가는 데이터를 몰래 빼낼 수 있는 것은 물론이고 웹서버에 저장된 아이디, 비밀번호, 신용카드번호 등 민감 정보도 빼낼 수 있다. 특히 암호화된 자료를 다시 암호화 전 상태로 되돌려주는 ‘만능키(Secret Key)’까지 유출 가능하고 그 흔적조차 거의 남지 않는다는 게 가장 큰 문제다. 이 사실이 알려진 직후 미국은 정부가 나서 기업과 이용자들에게 즉각적인 보안 패치 적용 및 비밀번호 변경을 경고했다. 하지만 국내는 제대로 된 홍보나 보안 패치 적용이 이뤄지지 않고 있다. 현재 국내에는 약 230만 개의 웹사이트가 존재하지만 이 가운데 하트블리드 보안 패치 적용을 완료한 곳은 네이버 등 소수에 불과한 실정이다.

금융권 보안을 관리하는 금융감독원 관계자는 “오픈SSL을 은행에서 광범위하게 사용하는 것으로 알고 있지만 개별 현황은 파악을 못했다”고 말했다. 정부 사이트 관리를 담당하는 안전행정부 관계자는 “(보안 패치가) 정부 시스템에 영향을 미칠지 점검해야 해 아직 보안 패치를 적용 못했다”고 밝혔다. 국내 대응이 지지부진한 사이 글로벌 인터넷업계는 지난 한 주 어느 때보다 긴박하게 돌아갔다.

▼ 국내 230만개 웹사이트 대부분 보안패치 미적용 ▼

오픈SSL 기반의 웹사이트를 운영하는 구글, 페이스북, 트위터, 야후 등 대부분의 글로벌 인터넷기업들이 즉시 웹서버에 보안 패치를 적용했다. 페이스북, 트위터, 야후, 인스타그램 등은 가입자들에게 비밀번호를 바꿀 것을 권고하기도 했다.

미국 정부도 바쁘게 움직였다. 연방금융기관검사협의회(FFIEC)는 “은행들은 시스템에 즉각 보안 패치를 적용해야 한다”며 “모든 고객들의 비밀번호를 바꾸는 방안을 심각하게 고민하라”고 권고했다.

이런 대응은 국내에 비해 훨씬 빠르고 즉각적인 것이지만 해외에서는 이미 하트블리드 버그를 악용한 보안 사고가 속속 보고되고 있다. 캐나다 국세청은 하트블리드 보안 결함으로 인해 납세자 900명의 사회보험번호가 유출됐다고 14일(현지 시간) 밝혔다. 캐나다 국세청은 세금 납부 사이트가 하트블리드 버그에 취약하다는 사실을 알고 9일부터 닷새 동안 사이트를 폐쇄했지만 폐쇄 후 보안 패치를 적용하기 전인 8일 6시간 동안 이 같은 사고가 벌어진 것으로 확인됐다. 야후에서도 보안 패치 적용이 늦어지면서 그사이 비밀번호 등 가입자들의 개인 정보가 유출된 것으로 드러났다. 야후의 비밀번호 유출 사실은 네덜란드의 한 보안 전문가가 트위터를 통해 야후에서 아이디와 비밀번호를 빼낸 사실을 공개하면서 알려졌다.

정현철 한국인터넷진흥원(KISA) 침해사고분석단장은 “하트블리드 버그는 상당히 심각한 문제로 취약점이 만천하에 공개된 만큼 이를 활용한 공격도 급증할 것으로 보인다”며 “그러나 상당히 많은 국내 웹사이트가 오픈SSL 기반인 것으로 추정될 뿐 정확한 파악이나 보안 패치 적용 여부는 확인이 안 된다”고 말했다. 안행부는 “정부통합전산센터, 국가정보원 등 가장 중요한 곳을 우선 업그레이드할 생각”이라며 “기타 기관과 지방자치단체는 일단 자체적으로 보안 패치를 적용해야 하고 안 된 곳은 이달 말 이후 조사해 지원해야 하는 상황”이라고 말했다.

이에 대해 보안업계에서는 매우 늦고 위험한 대응이라는 지적이 나온다. 박찬암 라온시큐어 보안기술연구팀장은 “패치 적용이 늦어질수록 보안 공백은 더 커진다는 점에서 깊이 우려되는 상황”이라며 “이미 검증된 보안 패치가 공개돼 있는 만큼 어떻게든 최대한 빨리 보안 패치를 적용해야 한다”고 강조했다. 또 다른 보안업계 관계자는 “국내 기업이나 기관 중에는 별도의 보안담당자가 없는 곳이 대부분이라 하트블리드가 문제라는 사실조차 모르는 경우가 많다”며 “보안당국은 최악의 상황을 염두에 두고 대응책을 고민해야 할 것”이라고 말했다.


:: 하트블리드(Heartbleed) 버그 ::

2014년 4월 7일 핀란드의 보안업체 ‘코데노미콘’ 연구진이 발견해 공개한 인터넷의 치명적인 보안 허점. 전 세계 웹사이트가 대부분 쓰는 암호화기술(오픈SSL)에 존재하는 결함이다. 오픈SSL에서 쓰는 ‘하트비트(Heartbeat)’라는 통신신호에서 발견된 결함이라 ‘하트블리드’라는 이름이 붙었다. 의학용어인 하트블리드는 치명적인 심장출혈을 뜻한다.

임우선 imsun@donga.com·황태호 기자