최악 버그 ‘H의 공포’ 한국은 해킹 무방비
동아일보
입력 2014-04-16 03:00 수정 2014-04-16 10:00
인터넷 보안 결함에 전세계 발칵… 美-加 개인정보 유출돼 패치 적용
한국 정부-금융권 일주일째 ‘태평’
‘인터넷 역사상 최악의 보안 결함’ ‘인터넷 시대의 재앙’으로 평가받는 ‘하트블리드(Heartbleed)’ 버그가 최근 발견됐다. 전 세계 인터넷업계가 발칵 뒤집어진 가운데 해외에서 이로 인한 해킹 피해 사례가 속속 공개돼 위기감이 더욱 커지고 있다. 그러나 국내에서는 버그 발견 일주일이 지나도록 민간 기업은 물론이고 정부 및 금융권 웹사이트 상당수가 이에 대한 보안 조치를 하지 않은 것으로 나타났다. 한국은 세계 최고 수준의 인터넷 고도화가 이뤄진 나라로 북한의 조직적인 해킹 위협까지 상존해 향후 심각한 보안사고로 이어질 위험이 높다는 지적이 있다.
이달 7일(현지 시간) 핀란드 보안업체가 발견해 처음 세간에 알려진 하트블리드 버그는 인터넷상에서 문자나 문서를 주고받을 때 이를 암호화해주는 기술(오픈SSL)에서 발견된 치명적 결함이다. 오픈SSL은 전 세계 웹사이트의 3분의 2가량이 쓰는 기술이다. 이번 결함을 악용하면 특정 오픈SSL 버전이 적용된 사이트 서버에서 오가는 데이터를 몰래 빼낼 수 있는 것은 물론이고 웹서버에 저장된 아이디, 비밀번호, 신용카드번호 등 민감 정보도 빼낼 수 있다. 특히 암호화된 자료를 다시 암호화 전 상태로 되돌려주는 ‘만능키(Secret Key)’까지 유출 가능하고 그 흔적조차 거의 남지 않는다는 게 가장 큰 문제다. 이 사실이 알려진 직후 미국은 정부가 나서 기업과 이용자들에게 즉각적인 보안 패치 적용 및 비밀번호 변경을 경고했다. 하지만 국내는 제대로 된 홍보나 보안 패치 적용이 이뤄지지 않고 있다. 현재 국내에는 약 230만 개의 웹사이트가 존재하지만 이 가운데 하트블리드 보안 패치 적용을 완료한 곳은 네이버 등 소수에 불과한 실정이다.
금융권 보안을 관리하는 금융감독원 관계자는 “오픈SSL을 은행에서 광범위하게 사용하는 것으로 알고 있지만 개별 현황은 파악을 못했다”고 말했다. 정부 사이트 관리를 담당하는 안전행정부 관계자는 “(보안 패치가) 정부 시스템에 영향을 미칠지 점검해야 해 아직 보안 패치를 적용 못했다”고 밝혔다. 국내 대응이 지지부진한 사이 글로벌 인터넷업계는 지난 한 주 어느 때보다 긴박하게 돌아갔다.
▼ 국내 230만개 웹사이트 대부분 보안패치 미적용 ▼
오픈SSL 기반의 웹사이트를 운영하는 구글, 페이스북, 트위터, 야후 등 대부분의 글로벌 인터넷기업들이 즉시 웹서버에 보안 패치를 적용했다. 페이스북, 트위터, 야후, 인스타그램 등은 가입자들에게 비밀번호를 바꿀 것을 권고하기도 했다.
미국 정부도 바쁘게 움직였다. 연방금융기관검사협의회(FFIEC)는 “은행들은 시스템에 즉각 보안 패치를 적용해야 한다”며 “모든 고객들의 비밀번호를 바꾸는 방안을 심각하게 고민하라”고 권고했다.
이런 대응은 국내에 비해 훨씬 빠르고 즉각적인 것이지만 해외에서는 이미 하트블리드 버그를 악용한 보안 사고가 속속 보고되고 있다. 캐나다 국세청은 하트블리드 보안 결함으로 인해 납세자 900명의 사회보험번호가 유출됐다고 14일(현지 시간) 밝혔다. 캐나다 국세청은 세금 납부 사이트가 하트블리드 버그에 취약하다는 사실을 알고 9일부터 닷새 동안 사이트를 폐쇄했지만 폐쇄 후 보안 패치를 적용하기 전인 8일 6시간 동안 이 같은 사고가 벌어진 것으로 확인됐다. 야후에서도 보안 패치 적용이 늦어지면서 그사이 비밀번호 등 가입자들의 개인 정보가 유출된 것으로 드러났다. 야후의 비밀번호 유출 사실은 네덜란드의 한 보안 전문가가 트위터를 통해 야후에서 아이디와 비밀번호를 빼낸 사실을 공개하면서 알려졌다.
정현철 한국인터넷진흥원(KISA) 침해사고분석단장은 “하트블리드 버그는 상당히 심각한 문제로 취약점이 만천하에 공개된 만큼 이를 활용한 공격도 급증할 것으로 보인다”며 “그러나 상당히 많은 국내 웹사이트가 오픈SSL 기반인 것으로 추정될 뿐 정확한 파악이나 보안 패치 적용 여부는 확인이 안 된다”고 말했다. 안행부는 “정부통합전산센터, 국가정보원 등 가장 중요한 곳을 우선 업그레이드할 생각”이라며 “기타 기관과 지방자치단체는 일단 자체적으로 보안 패치를 적용해야 하고 안 된 곳은 이달 말 이후 조사해 지원해야 하는 상황”이라고 말했다.
이에 대해 보안업계에서는 매우 늦고 위험한 대응이라는 지적이 나온다. 박찬암 라온시큐어 보안기술연구팀장은 “패치 적용이 늦어질수록 보안 공백은 더 커진다는 점에서 깊이 우려되는 상황”이라며 “이미 검증된 보안 패치가 공개돼 있는 만큼 어떻게든 최대한 빨리 보안 패치를 적용해야 한다”고 강조했다. 또 다른 보안업계 관계자는 “국내 기업이나 기관 중에는 별도의 보안담당자가 없는 곳이 대부분이라 하트블리드가 문제라는 사실조차 모르는 경우가 많다”며 “보안당국은 최악의 상황을 염두에 두고 대응책을 고민해야 할 것”이라고 말했다.
:: 하트블리드(Heartbleed) 버그 ::
2014년 4월 7일 핀란드의 보안업체 ‘코데노미콘’ 연구진이 발견해 공개한 인터넷의 치명적인 보안 허점. 전 세계 웹사이트가 대부분 쓰는 암호화기술(오픈SSL)에 존재하는 결함이다. 오픈SSL에서 쓰는 ‘하트비트(Heartbeat)’라는 통신신호에서 발견된 결함이라 ‘하트블리드’라는 이름이 붙었다. 의학용어인 하트블리드는 치명적인 심장출혈을 뜻한다.
임우선 imsun@donga.com·황태호 기자
한국 정부-금융권 일주일째 ‘태평’
‘인터넷 역사상 최악의 보안 결함’ ‘인터넷 시대의 재앙’으로 평가받는 ‘하트블리드(Heartbleed)’ 버그가 최근 발견됐다. 전 세계 인터넷업계가 발칵 뒤집어진 가운데 해외에서 이로 인한 해킹 피해 사례가 속속 공개돼 위기감이 더욱 커지고 있다. 그러나 국내에서는 버그 발견 일주일이 지나도록 민간 기업은 물론이고 정부 및 금융권 웹사이트 상당수가 이에 대한 보안 조치를 하지 않은 것으로 나타났다. 한국은 세계 최고 수준의 인터넷 고도화가 이뤄진 나라로 북한의 조직적인 해킹 위협까지 상존해 향후 심각한 보안사고로 이어질 위험이 높다는 지적이 있다.
이달 7일(현지 시간) 핀란드 보안업체가 발견해 처음 세간에 알려진 하트블리드 버그는 인터넷상에서 문자나 문서를 주고받을 때 이를 암호화해주는 기술(오픈SSL)에서 발견된 치명적 결함이다. 오픈SSL은 전 세계 웹사이트의 3분의 2가량이 쓰는 기술이다. 이번 결함을 악용하면 특정 오픈SSL 버전이 적용된 사이트 서버에서 오가는 데이터를 몰래 빼낼 수 있는 것은 물론이고 웹서버에 저장된 아이디, 비밀번호, 신용카드번호 등 민감 정보도 빼낼 수 있다. 특히 암호화된 자료를 다시 암호화 전 상태로 되돌려주는 ‘만능키(Secret Key)’까지 유출 가능하고 그 흔적조차 거의 남지 않는다는 게 가장 큰 문제다. 이 사실이 알려진 직후 미국은 정부가 나서 기업과 이용자들에게 즉각적인 보안 패치 적용 및 비밀번호 변경을 경고했다. 하지만 국내는 제대로 된 홍보나 보안 패치 적용이 이뤄지지 않고 있다. 현재 국내에는 약 230만 개의 웹사이트가 존재하지만 이 가운데 하트블리드 보안 패치 적용을 완료한 곳은 네이버 등 소수에 불과한 실정이다.
금융권 보안을 관리하는 금융감독원 관계자는 “오픈SSL을 은행에서 광범위하게 사용하는 것으로 알고 있지만 개별 현황은 파악을 못했다”고 말했다. 정부 사이트 관리를 담당하는 안전행정부 관계자는 “(보안 패치가) 정부 시스템에 영향을 미칠지 점검해야 해 아직 보안 패치를 적용 못했다”고 밝혔다. 국내 대응이 지지부진한 사이 글로벌 인터넷업계는 지난 한 주 어느 때보다 긴박하게 돌아갔다.
▼ 국내 230만개 웹사이트 대부분 보안패치 미적용 ▼
오픈SSL 기반의 웹사이트를 운영하는 구글, 페이스북, 트위터, 야후 등 대부분의 글로벌 인터넷기업들이 즉시 웹서버에 보안 패치를 적용했다. 페이스북, 트위터, 야후, 인스타그램 등은 가입자들에게 비밀번호를 바꿀 것을 권고하기도 했다.
미국 정부도 바쁘게 움직였다. 연방금융기관검사협의회(FFIEC)는 “은행들은 시스템에 즉각 보안 패치를 적용해야 한다”며 “모든 고객들의 비밀번호를 바꾸는 방안을 심각하게 고민하라”고 권고했다.
이런 대응은 국내에 비해 훨씬 빠르고 즉각적인 것이지만 해외에서는 이미 하트블리드 버그를 악용한 보안 사고가 속속 보고되고 있다. 캐나다 국세청은 하트블리드 보안 결함으로 인해 납세자 900명의 사회보험번호가 유출됐다고 14일(현지 시간) 밝혔다. 캐나다 국세청은 세금 납부 사이트가 하트블리드 버그에 취약하다는 사실을 알고 9일부터 닷새 동안 사이트를 폐쇄했지만 폐쇄 후 보안 패치를 적용하기 전인 8일 6시간 동안 이 같은 사고가 벌어진 것으로 확인됐다. 야후에서도 보안 패치 적용이 늦어지면서 그사이 비밀번호 등 가입자들의 개인 정보가 유출된 것으로 드러났다. 야후의 비밀번호 유출 사실은 네덜란드의 한 보안 전문가가 트위터를 통해 야후에서 아이디와 비밀번호를 빼낸 사실을 공개하면서 알려졌다.
정현철 한국인터넷진흥원(KISA) 침해사고분석단장은 “하트블리드 버그는 상당히 심각한 문제로 취약점이 만천하에 공개된 만큼 이를 활용한 공격도 급증할 것으로 보인다”며 “그러나 상당히 많은 국내 웹사이트가 오픈SSL 기반인 것으로 추정될 뿐 정확한 파악이나 보안 패치 적용 여부는 확인이 안 된다”고 말했다. 안행부는 “정부통합전산센터, 국가정보원 등 가장 중요한 곳을 우선 업그레이드할 생각”이라며 “기타 기관과 지방자치단체는 일단 자체적으로 보안 패치를 적용해야 하고 안 된 곳은 이달 말 이후 조사해 지원해야 하는 상황”이라고 말했다.
이에 대해 보안업계에서는 매우 늦고 위험한 대응이라는 지적이 나온다. 박찬암 라온시큐어 보안기술연구팀장은 “패치 적용이 늦어질수록 보안 공백은 더 커진다는 점에서 깊이 우려되는 상황”이라며 “이미 검증된 보안 패치가 공개돼 있는 만큼 어떻게든 최대한 빨리 보안 패치를 적용해야 한다”고 강조했다. 또 다른 보안업계 관계자는 “국내 기업이나 기관 중에는 별도의 보안담당자가 없는 곳이 대부분이라 하트블리드가 문제라는 사실조차 모르는 경우가 많다”며 “보안당국은 최악의 상황을 염두에 두고 대응책을 고민해야 할 것”이라고 말했다.
:: 하트블리드(Heartbleed) 버그 ::
2014년 4월 7일 핀란드의 보안업체 ‘코데노미콘’ 연구진이 발견해 공개한 인터넷의 치명적인 보안 허점. 전 세계 웹사이트가 대부분 쓰는 암호화기술(오픈SSL)에 존재하는 결함이다. 오픈SSL에서 쓰는 ‘하트비트(Heartbeat)’라는 통신신호에서 발견된 결함이라 ‘하트블리드’라는 이름이 붙었다. 의학용어인 하트블리드는 치명적인 심장출혈을 뜻한다.
임우선 imsun@donga.com·황태호 기자
비즈N 탑기사
- ‘싱글맘’ 쥬얼리 이지현, 국숫집 알바한다 “민폐 끼칠까 걱정”
- 세차장 흠집 갈등…“없던 것” vs “타월로 생길 수 없는 자국”
- 덕수궁서 연말에 만나는 ‘석조전 음악회’
- ‘컴퓨터 미인’ 황신혜가 뽑은 여배우 미모 톱3는?
- ‘솔로 컴백’ 진 “훈련병 때 느낀 감정 가사에 담았죠”
- 앙투아네트 300캐럿 목걸이… 소더비 경매서 68억원에 낙찰
- “진짜 동안 비결, 때깔 달라져”…한가인, 꼭 챙겨 먹는 ‘이것’ 공개
- “서점서 쫓겨난 노숙자 시절, 책 선물해준 은인 찾습니다”
- “내가 먹은 멸치가 미끼용?” 비식용 28톤 식용으로 속여 판 업자
- ‘조폭도 가담’ 889억대 불법도박사이트 운영 일당 일망타진
- 화성 서남부 광역 철도시대 열린다
- “아동용은 반값”… 치솟는 옷값에 ‘키즈의류’ 입는 어른들
- 트럼프 핵심참모들도 “中 대응위해 韓과 조선 협력”
- 이마트, 4년만에 분기 최대 실적… 정용진 ‘본업 승부수’ 통했다
- ‘스무살’ 지스타, 고사양 대작 게임 풍성… 더 성숙해졌다
- “내년 8월 입주, 디딤돌 대출 가능할까요?”[부동산 빨간펜]
- [HBR 인사이트]경력 공백이 재취업에 미치는 영향
- 부동산PF 자기자본 20%대로… 대출 줄이고 시행사 책임 강화
- 中에 기술 팔아넘긴 산업스파이, 간첩죄 처벌 길 열린다
- 잠시 멈췄더니 흔들림이 지나가더라[김선미의 시크릿가든]