1. 2014년 4월 16일 수요일Á
Pa ÐødrE cûÁô א0 nûà ˆ U
Uº – µ “” êªÎ Š« ì±Ü %Èû
l…ÁÈ# ')!$##"Â& @AeÏ ads) Èûl
… ì±ÜÏ …8ƒ ¹ÆÌ ³‰µ §pæ
 {ip œÅûóÁ X3…Ï ¥2É ö
Ïs) ¶Uµ Èûl… þík ´€ÏûȘ
x Uâ – º «Û™ ¡Ì 4è° ÈU ‘
~µ ’j xÍÏ $‡s) …’i6 xÍ åÐ I
R1ÁÏ Œ1¡ ò ˆ Rfˆ U´Ep xá
ÚÐ ²”Ïs)
하트블리드는 인터넷에서 각종 정보를 암호화할
때 쓰는 오픈SSL에서 발견된 보안 취약점이다 국
내외 유명 웹 서비스는 주로 오픈SSL로 암호화 통
신을 한다 사용자가 웹 브라우저에서 입력한 로그
인 정보나 각종 개인정보 금융정보를 서버로 전송
할 때 오픈SSL를 이용해 암호화한다 하트블리드
는 암호화를 무력화하는 버그다 암호화된다고 믿
고 인터넷에서 주고받은 정보가 털렸을 가능성이
높다
15일 BBC 등에 따르면 해커가 캐나다 국세청과
영국 육아 정보사이트 멈스넷(Mumsnet)을 공격
한 것으로 드러났다 광범위한 영향이 실제 피해로
나타났다 늑대에 둘러싸인 양떼를 보호하던 초대
형 울타리가 풀린 셈이다 늑대는 힘들이지 않고 양
을 닥치는 대로 잡아먹을 수 있다
◇하트블리드에 한국 뻥 뚫렸다
보안 전문가들은 하트블리드 취약점은 윈도XP
보안 문제와 비교가 되지 않는 비상사태라고 입을
모은다 하트블리드 취약점은 당장 문제가 발생하
는 시급한 구멍이기 때문이다 잠재적 위협인 윈도
XP보다 파장이 크다 개인정보와 금융정보 접속
정보가 해커에게 넘어가면 바로 금전적 피해로 나
타날 수 있기 때문이다
트렌드마이크로가 알렉사에 등록된 상위도메인
100만개를 분석한 결과 한국 도메인인 KR이 하
트블리드 취약점에 가장 많이 노출된 것으로 나타
났다 트렌드마이크로는 KR 도메인이 취약한 것은
오픈SSL 업데이트를 하지 않기 때문으로 분석했
다 오픈소스 SW를 가져다 사용하고 제대로 업데이
트하지 않는 우리 현실을 그대로 반영한다
유명 보안 포털 헬프넷시큐리티(HNS)가 내놓은
보고서에 따르면 한국은 하트블리드 취약점에 노
출된 주요 국가다 한국은 전 세계에서 취약점에 노
출된 오픈SSL 101b 버전을 가장 많이 쓰는 것으로
나타났다
전상훈 빛스캔 CTO는 현재 국내 기업 상당수
는 이 문제 심각성을 제대로 인식하지 못한다며
취약점에 노출된 곳 대부분이 서비스 운영 중인데
중단하고 패치해야 한다고 말했다 그는 이번 패
치는 보안 담당자가 몇 년에 한번 할까 말까 한 일
을 며칠 사이에 해야 하는 사안이라며 서비스나
장비의 연결된 구조와 의존 관계 등을 면밀히 고려
하지 않으면 또 다른 장애가 발생한다고 설명했
다
◇웹과 연결된 모든 기기와 서비스에 구멍
하트블리드 취약점은 인터넷을 이용하는 모든
기기와 서비스에서 나타난다 구글과 야후 등 유명
웹 사이트는 물론이고 시스코와 주니퍼네트웍스
등이 내놓은 서버 라우터 스위치 비디오카메라
스마트폰 등 인터넷과 연결된 모든 기기에 영향을
끼친다 매일 정보가 안전하게 전송된다고 믿었던
모든 기기와 서비스가 해당된다
하트블리드 취약점은 2012년 나온 오픈SSL 10
1버전부터 101f버전에서 발견됐다 버그가 2년 넘
게 방치돼 피해 규모조차 파악하기 힘들다 지난 2
년간 누군가 당신의 스마트폰 통화와 이메일 내용
을 모두 도청했을 수 있다
최근 많이 쓰는 인터넷 전화도 예외는 아니다 시
스코가 판매한 인터넷 전화 4개 모델이 영향을 받는
것으로 알려졌다 기업 내 영상회의시스템도 마찬
가지다 해커가 신제품 개발 계획 등 중요 회의 내용
을 모두 빼돌렸을 가능성이 높다
보안을 위해 설치한 가상사설망(VPN)도 무용지
물이다 주니퍼네트웍스가 판매한 일부 VPN이 하
트블리드 취약점에 노출됐다 국내 정보보호 기업
이 판매한 VPN도 마찬가지다 그나마 글로벌 장비
기업은 신속하게 보안 패치를 배포했지만 국내 기
업은 취약점 파악에서 패치도 우왕좌왕이다 폐업
했거나 서비스가 중단된 VPN이나 보안 장비는 패
치가 사실상 어렵다
스마트폰에서 보낸 각종 기업 중요 문서도 해커
가 다 들여다봤다 구글 온라인 보안 블로그는 안드
로이드 411 젤리빈이 보안 취약점에 노출됐다고
밝혔다 삼성전자 갤럭시S3와 갤럭시노트2 구글
넥서스7 등 여러 기종이 해당한다
스마트폰은 제조사와 통신사가 함께 OS 업데이
트를 해야 해 상당한 시일이 걸린다 취약점이 알려
지고 보안 패치가 올라왔지만 안타깝게도 공격 도
구도 함께 등장했다 발 빠르게 손쓰지 않으면 모든
정보는 눈 깜짝할 사이 해커 손아귀에 들어간다
김인순기자 insoon@etnewscom
하트블리드에 뻥 뚫린 대한민국
.KR 취약점 세계 1위윈도XP 지원 종료보다 더 급한 불
오픈SSL 하트블리드 취약점이 세상에 알려지
며 보안 제품은 물론이고 모든 소프트웨어 개발에
시큐어 코딩을 의무화해야 한다는 목소리에 힘이
실린다 각종 인증을 획득한 보안 제품도 안전성을
담보할 수 없는 상황으로 내몰렸기 때문이다
시큐어 코딩이란 해커 공격을 유발할 가능성이
있는 잠재적인 보안 취약점을 사전에 제거해 안전
성이 높은 소프트웨어를 개발하는 기법이다
하트블리드 취약점이 알려지자 국내 정보보호
기업은 패치 개발과 배포에 우왕좌왕이다 보안
제품 상당수가 하트블리드에 노출된 오픈SSL 기
술이 쓰인 것으로 확인된 탓이다 문제는 이번에
취약점에 노출된 대부분 보안 제품이 정보보호시
스템 평가 인증을 거쳤다는 점이다 정보보호시스
템 평가인증은 민간 기업이 개발한 보안 제품에
구현된 보안 기능의 안전성과 신뢰성을 보증해 사
용자가 안심하고 제품을 사용하게 지원하는 제도
다
수개월이 넘는 평가기간을 거쳐 인증을 받아도
오픈SSL 하트블리드와 같은 대형 보안 구멍을 걸
러내지 못했다 결국 인증 받은 제품을 구입한 공
공기관도 보안솔루션에 있는 하트블리드 취약점
에 그대로 노출된다 내부 네트워크와 서비스를
보호하려고 도입한 보안 제품이 해커 공격의 목표
가 되는 셈이다 실제로 지난해 320 사이버테러
사건을 비롯해 최근 해커는 윈도나 안티 바이러스
업데이트 서버 등 보안 솔루션 취약점을 악용한
공격을 늘렸다
김승주 고려대 정보보호대학원 교수는 영세
한 국내 보안 기업은 오픈소스 소프트웨어를 그대
로 가져다 제품을 개발하는 경우가 많다며 CC
인증이나 암호모듈검증을 받아도 하트블리드와
같이 대형 취약점이 발견되면 속수무책이라고
설명했다 그는 지난 2012년 전자정부에만 도입
한 시큐어코딩 의무화를 전체 보안제품에서 각종
애플리케이션 소프트웨어 개발까지 모두 확산해
야 한다며 정보보호 제품 자체의 안전성을 높이
면 대형 공격 위협을 그나마 줄일 수 있다고 덧붙
였다 김인순기자
보안 제품 넘어 모든 SW개발에 시큐어 코딩 의무화
보안인증 획득한 제품까지 구멍
잠재적 해킹 위협 사전에 제거해
안전성 높은 SW개발 힘써야
대형 취약점 피하려면
한국인터넷진흥원(KISA)은 하트블리드 취약점과
관련해오픈SSL 업데이트를실시하거나하트비트기
능을 끄라고 경고했다 일반 사용자는 서비스 제공자
가 업데이트하는 패치를 신속히 적용해야 한다
서버 관리자는 오픈SSL 공식 홈페이지에서 제공
하는 101g 버전으로 업데이트를 진행해야 한다
공개용 웹서버 프로그램 아파치엔진엑스와 함께
사용되는 경우가 많아 이 경우 반드시 버전 확인이
필요하다 101~101f 102베타 102베타1을
쓰고 있다면 업데이트 대상이다 이미 SSL 비밀키
가 유출됐을 가능성이 있어 인증서 재발급도 검토
해야 한다
특정 오픈SSL 버전에 맞춰 시스템이 설계됐거나
서버 구조가 복잡해 업데이트가 어렵다면 취약점
핵심인 하트비트 기능을 꺼야 한다 부가 기능이기
때문에 적용하지 않는다고 해서 서비스 질이나 보
안성이 떨어지지 않는다 실제 101 이전 버전에는
이 기능이 없지만 동작에 이상이 없다
네트워크 보안 장비를 사용하고 있다면 하트블
리드 취약점을 이용한 공격 패턴을 추가해 침입탐
지시스템이 공격을 인지할 수 있도록 한다
일반 사용자는 관리자가 업데이트하는 패치를
바로 적용해야 한다 오픈SSL 라이브러리를 내장
한 소프트웨어가 사용자 PC에 깔려있을 수 있기 때
문이다 자주 방문하는 사이트 중 하트블리드 취약
점을 가진 곳이 있는지 확인해보는 것도 좋은 방법
이다 패치가 완료된 사이트라면 비밀번호를 바꿔
2차 피해를 예방한다
개발자가 오픈SSL을 바로 적용하지 않고 변형된
자체 라이브러리를 썼다면 수동으로 코드를 추가
해야 한다 오픈SSL을 참조하며 취약점이 있는 코
드까지 그대로 가져다 썼을 가능성이 높기 때문이
다 이 경우 메시지 길이를 확인하는 코드를 추가해
야 취약점을 해결할 수 있다 KISA는 향후 개발되
는 시스템에도 같은 코드를 넣도록 권고했다
취약점 여부를 자체적으로 확인하기 어려우면 K
ISA 도움을 받아야 한다 점검을 요청하면 원격으
로 버전을 확인하고 취할 수 있는 조치를 알려준다
송준영기자 songjy@etnewscom
하트블리드 대응 방법은
업데이트 패치
신속히 적용하고
하트비트는 OFF
각종 인터넷 정보 암호화하는
오픈SSL서 발견된 보안 취약점
캐나다 국세청英 멈스넷 등 공격
광범위한 피해사례 드러나기 시작
오픈소스 SW 가져다 사용하고
제대로 업데이트 안해 위협 노출
피해 상황 파악하기 어렵고
국내기업 상당수 심각성 인식 못해
웹사이트서 서버라우터 등
인터넷 연결된 모든기기에 영향
재빨리 패치 배포한 글로벌기업처럼
서둘러 손쓰지 않으면 막대한 피해