인터넷 세상에서 ‘사상 최악의 버그’로 불리는 ‘하트블리드’는 전 세계 웹사이트 절반 이상이 사용하는 네트워크 암호화 기술 오픈SSL에 대한 취약점 공격으로, 암호화 키를 탈취한 공격자들이 네트워크 상에서 평문화된 데이터를 빼내갈 수 있기 때문에 매우 심각한 위협으로 꼽힌다.
현재 상황에서 예상할 수 있는 공격은 금융거래 구간에서 개인정보와 금융정보를 탈취하는 것으로, 개인을 대상으로 한 무차별적인 전자금융사기를 벌이는 것이다. 구글, 애플 등은 ID와 비밀번호가 공격자에게 노출될 수 있다는 사실을 알리면서 비밀번호 변경을 당부하기도 했다.
기업에서는 IT 시스템간 통신데이터가 탈취당하거나 업데이트 패치 정보가 빠져나갈 수 있다. 암호화되지 않은 보안패치 업데이트 정보를 훔친 사이버 공격자들은 공격에 이용할 수 있는 취약점을 더 빠르고 쉽게 찾아낼 수 있다.
특히 우리나라는 사회 전반에서 다양한 웹서비스가 사용되고 있기 때문에 피해 예상 시나리오를 일일이 나열하기도 어렵다. 대민 서비스를 제공하는 공공기관부터 시작해 금융거래가 가능한 인터넷뱅킹, 인터넷 쇼핑몰, 게임 등에서 피해가 발생할 수 있다.
이는 개인으로부터 금전적인 이익을 얻기 위한 공격 뿐 아니라 기업/기관의 중요한 정보를 노리는 지능형 타깃공격도 가능하다. 군사기밀정보를 탈취해 국가 안보에 심각한 문제를 야기할 가능성도 높다.
하트블리드는 오픈SSL의 특정 버전에서의 취약점을 이용하기 때문에 공격을 당하고 있다는 사실조차 알지 못하며, 어떤 정보가 빠져나가고 있는지도 파악하지 못하기 때문에 위험의 심각성이 더욱 높아진다. 피해사실을 정확하게 알 수 없기 때문에 피해를 입은 후 적절하게 대처해야 할 방안을 찾지 못한다.
문일준 빛스캔 대표이사는 “현재 하트블리드가 얼마나 강력한 영향력을 미칠 수 있는지 예상하기는 어렵다. 공격자들도 이 취약점을 이용해 어떤 이익을 얻을 수 있을지 다양한 시도를 해보는 단계”라며 “이제 이 공격은 인터넷 세상에 발생한 거대한 지진의 시작이라고 할 수 있다. 거대한 쓰나미가 서서히 몰려오고 있다고 보고 빠른 조치를 취해야 한다”고 말했다.
사용자 정보 유출 방지 위한 노력도 시급
그러나 ‘적절한 조치’라는 점도 쉬운 것은 아니다. 취약점이 발견된 오픈SSL을 사용하는 구간에 대해서는 오픈SSL 홈페이지에서 제공하는 패치를 적용해야 하는데, 패치를 적용하는 중 웹 서비스가 중단되거나 장애를 일으킬 가능성을 배제할 수 없다.
네트워크 및 보안 솔루션 기업들이 자사 장비에 해당하는 취약점 패치를 자동 배포하고 있다고 강조하면서 이 문제 해결에 총력을 기울이고 있다고 밝히고 있지만, 이 문제도 쉬운 해결책은 아니다.
개인 사용자 PC에서 MS 보안패치를 업데이트하듯 클릭 한두번으로 해결할 수 있는 문제는 아니기 때문이다. 업데이트 도중 어떠한 장애가 발생할 지 알 수 없다.
해당 장비를 사용하는 기업/기관에서 직접 보안패치를 적용하지 못하고 벤더 혹은 파트너의 기술지원을 받아야 한다면, 벤더와 파트너의 한정된 인력이 수많은 고객의 기술지원을 제공하는데 상당한 시간이 걸리고, 그 동안 공격을 받아 심각한 피해를 입을 수 있다.
개인 사용자의 정보를 탈취하는 공격을 막기 위해서는 사용자들 역시 비밀번호를 변경하는 노력을 해야 한다. 이러한 사실은 해당 서비스를 제공하는 기관들이 이메일이나 공식 사이트 안내창을 통해 자사에 취약점이 있다는 사실을 공지하고 문제 해결이 완료된 시점까지 사이트 접속을 자제할 것을 당부해야 한다. 문제 해결을 완료한 후 다시 사용자에게 공지해 비밀번호를 바꿀 것을 알려야 한다.
문일준 대표이사는 “하트블리드는 IT 벤더부터 기업/기관, 개인 사용자까지 피해를 입힐 수 있는 심각한 위협”이라며 “기업/기관 뿐 아니라 정부도 적극적으로 나서서 이 문제를 해결할 수 있도록 도와야 한다”고 말했다.
