검색 본문 바로가기 회사정보 바로가기
> 산업 >

캐나다 국세청 뚫은 '하트블리드'…네이버·다음도 표적?

캐나다 국세청, 오픈SSL 보안 취약점 통해 사회보장번호 900개 유출
네이버 "업데이트 완료"…다음·네이트 "버그 영향 없는 버전"
미래부 "국내선 피해사례 없어…이용자도 비밀번호 바꿔야"

(서울=뉴스1) 김현아 기자 | 2014-04-16 07:17 송고
하트블리드 공식 홈페이지. © News1


아무런 흔적도 없이 웹사이트 이용자들의 개인정보, 비밀번호, 이메일 등을 빼낼 수 있는 '하트블리드'(Heartbleed) 버그로 인한 피해가 해외 사이트에서 발생했다. 국내 주요 포털사이트도 즉각 대응에 나선 가운데 정부는 "이용자들도 주기적으로 비밀번호 등을 바꿔주는 것이 안전하다"고 권고했다.

파이낸셜타임즈는 14일(현지시각) 캐나다 국세청 홈페이지에 하트블리드 버그를 이용한 공격이 발생해 우리나라의 주민등록번호와 같은 사회보장번호 900여개가 유출됐다고 보도했다. 또 영국의 육아사이트 '멈스넷'(Mumsnet)을 상대로 이용자 정보에 접근하려는 시도가 있었다고 밝혔다.

하트블리드 버그는 전세계 웹사이트 3분의 2가 사용하는 '오픈SSL'에서 확인된 취약점이다. SSL은 인터넷에서 주고받는 데이터를 암호화하는 데 쓰이는 표준기술이다. 오픈SSL은 이를 누구나 수정·개량해 사용할 수 있도록 무상으로 배포하는 오픈 소스 형태를 말한다.

하트블리드 버그는 오픈SSL에 추가된 하트비트 확장기능에서 생긴 버그다. 이 버그를 악용하면 오픈SSL을 적용한 웹사이트에서 한 번에 64KB 크기의 데이터를 아무 제한없이 빼낼 수 있다.

버그를 처음으로 발견한 보안업체 코드노미콘은 지난 7일(현지시각) 자체 서비스를 대상으로 하트블리드 버그를 이용해 공격 시도한 결과 어떠한 흔적도 남기지 않고 암호키를 빼내 이용자 계정과 비밀번호, 이메일, 중요 비즈니스 서류 등을 빼돌릴 수 있었다고 밝혔다.

해결방법은 '업데이트'다. 오픈SSL 1.0.1에서 1.0.1f 버전이 적용돼 있는 서버, 네트워크 장비 등의 관리자는 오픈SSL 홈페이지(www.openssl.org)에 접속해 7일 발표된 최신 버전인 오픈SSL 1.0.1g로 업데이트하면 하트블리드 취약점을 해결할 수 있다. 오픈SSL 0.9.X 대 버전은 하트비트가 추가되기 전 버전이어서 하트블리드 버그의 영향을 받지 않는다.

업데이트가 어렵다면 하트블리드가 발생한 하트비트를 사용하지 않도록 컴파일 옵션을 설정하면 된다.

구글, 페이스북 등 글로벌 기업들은 하트블리드가 확인되자 서둘러 패치 작업에 나섰다. 네트워크 보안업체 팔로알토, 중견·중소기업용 네트워크 스토리지 전문업체 시놀로지 등도 보안 패치를 배포하거나 긴급 업데이트를 마쳤다고 전했다.

네이버, 다음, 네이트 등 국내 3대 포털사이트 또한 하트블리드 버그 대응을 마쳤다. 네이버는 하트블리드 버그가 확인되자 지난 8일 오픈SSL 1.0.1g 버전으로 업데이트를 완료했다. 다음과 네이트는 점검 결과 하트블리드 버그에 영향을 받지 않는 버전으로 확인됐다고 밝혔다.

자체 보안조치가 어려운 중소기업들은 한국인터넷진흥원(KISA)의 신고 번호 118로 연락하면 업데이트에 대한 기술지원, 취약점 점검 등을 안내받을 수 있다.

미래부는 이미 지난 10일 주요 홈페이지, 웹하드 등에 하트블리드 버그를 개별 안내했다. 앞으로 하트블리드 버그에 대한 집중 모니터링을 벌일 예정이다.

미래부는 "아직까지 하트블리드 취약점과 관련한 침해사고는 발생하지 않았지만 이용자들도 주기적으로 비밀번호 등을 바꿔주는 것이 안전하다"고 밝혔다.


hyun@news1.kr

이런 일&저런 일

    더보기