오픈SSL 공식 홈페이지에서 업데이트 진행해야
인터넷 역사상 최악의 버그라 불리는 ‘하트블리드’에 전 세계가 발칵 뒤집혔다.
지난 7일 핀란드에서 처음 보고된 하트블리드 버그가 발견 일주일을 넘어서면서 위험도와 대응 방안에 대한 관심이 커지고 있다. 하트블리드란 인터넷 상에서 데이터를 암호화하는 ‘오픈SSL’ 기술을 무력화 시키는 버그다. 이를 통해 이름, 주민등록번호, 은행계좌번호 등 민감한 개인정보가 유출될 경우 큰 피해로 이어질 수 있다. 더 심각한 문제는 암호화된 자료를 다시 암호화 전 상태로 돌릴 수 있는 ‘만능키’ 까지 유출이 가능하다. 현재 전세계 3분의 2에 해당하는 사이트가 이 기술을 채택하고 있어 사용자들은 각별한 주의가 필요하다.
현재 국내외의 대형 IT기업은 발빠르게 대응을 마친 상태다. 페이스북, 구글 등은 패치를 완료했으며, 시스코·HP·IBM·인텔 등은 버그 위험성을 줄이는데 주력하고 있다. 국내의 네이버·다음·카카오 등 주요 IT기업들 역시 보안패치를 통해 대부분 조치를 마친 것으로 확인됐다.
보안업계도 패치를 통해 하트블리드에 대한 대응에 분주하다. 펜타시큐리티는 자사의 웹방화벽 ‘와플’에 오픈SSL이 아닌 자체 개발한 암호 모듈을 사용해 하트블리드로부터 안전하다고 밝혔다. 팔로알토네트웍스도 보안 패치 배포를 완료해 안전한 고객 IT인프라를 구축토록 했다.
하지만 보안 전문인력이 부족한 대다수의 중소업체에서는 아직 취약성 여부를 파악하지 못한채 패치를 진행하지 못한 것으로 알려졌다.
이에 한국인터넷진흥원(KISA)은 하트블리드 취약점과 관련해 업데이트할 것을 당부했다. 오픈SSL 공식 홈페이지(www.openssl.org)에 접속해 ‘오픈SSL 1.0.1g’ 버전으로 업데이트를 진행하고, 보안 패치를 적용하면 된다. 이미 주요 웹사이트에서 개인정보가 유출됐을 가능성을 고려해 기존 인증서를 폐기하고 재발급 받는 것이 안전하다. 인터넷 서비스를 이용하는 사용자들은 취약점에 대한 대응이 완료되면 최소한 비밀번호를 변경하는 등의 조치가 필요하다.
한편 하트블리드는 스마트폰에도 영향을 주는 것으로 드러났다. 구글은 최근 안드로이드 OS 중 4.1.1 버전에서 보안 결함을 찾아냈다고 밝혔다. 아직까지 해킹을 시도한 흔적은 없지만, 문제를 막기 위해 4.1.1 버전 사용자는 OS 업그레이드를 받아야 한다고 전했다. 국내에서는 삼성전자가 2012년 9월 출시한 ‘갤럭시 노트2’가 4.1.1 버전을 기본 탑재하고 있다. 갤럭시 S3, 갤럭시 노트 10.1, 넥서스7 등 2012년 이전 출시 기기에도 적용한 적이 있기 때문에 반드시 OS를 확인해 업그레이드를 해야 한다.