패치 분주·최신 버전 업데이트 해야
데이터 암호화 기술인 ‘오픈SSL’에 치명적인 버그가 발견되면서 업계가 대응책 마련에 고심하고 있다.
‘오픈SSL’은 인터넷을 기반으로 사용자와 서버 사이에 오고 가는 데이터를 암호화하는 기술이다. 사용자가 사이트에 회원가입을 하거나 서비스를 이용할 때 입력하는 개인정보들이 이에 해당된다.
이처럼 사용자와 서버 간 데이터 전송에 암호화가 잘 진행되고 있는지 확인하는 과정을 심장박동이 뛰고 있다는 의미로 ‘하트비트(Heartbeat)’라고 지칭하는데, 최근 이러한 오픈SSL의 암호화를 무력화 시키는 버그가 발견되면서 출혈이 생겼다는 의미인 ‘하트블리드(Heartbleed)’라는 용어가 급부상 했다.
‘하트블리드’ 취약점을 이용하면 인터넷 쇼핑이나 이메일 등을 사용할 때 사용자가 웹브라우저로 해당 사이트에 접속해 입력하는 사용자 이름과 비밀번호, 은행 계좌번호, 신용카드 번호, 유효기간 등이 서버로 전송될 때 거치는 암호화 과정을 무력화시킬 수 있다.
언제 어디에서 누가 해킹을 했는지 확인이 불가능하기 때문에 피해규모는 계속 커질 가능성이 있다.
취약점이 발견된 오픈SSL 버전은 ‘1.0.1’부터 ‘1.0.1f’ 및 ‘1.0.2-beta’와 ‘1.0.2-beta1’ 등으로, 현재 전세계 웹사이트의 3분의 2 가량이 오픈SSL 기술을 채택하고 있다.
미래창조과학부와 한국인터넷진흥원(KISA)은 9일, 오픈SSL 취약점에 대해 인터넷침해대응센터(KrCERT) 홈페이지에 보안공지를 올리고, 이를 악용한 공격주의 보도를 함과 동시에 주요 홈페이지, 웹하드 등에 개별안내를 실시했다.
보안 취약점은 오픈SSL 공식홈페이지(www.openssl.org)에 접속해, 7일 배포된 오픈SSL 1.0.1g 버전으로 업데이트를 해야 한다는 설명이다.
자체 보안조치가 어려운 중소기업은 KISA 118로 문의하면 패치에 대한 기술지원과 취약점 점검을 받을 수 있다.
아직 취약점 관련 침해사고는 발생하지 않았지만 이용자들도 주기적으로 비밀번호 등을 바꿔주는 것이 안전하다고 전했다.
보안업계의 대응책 마련도 분주하다.
팔로알토네트웍스(지사장 박희범)는 14일, 자사의 ‘차세대 방화벽(Next Generation Firewall)’에 ‘하트블리드’를 해결하는 보안패치 배포를 완료했다고 밝혔다.
이 제품은 사용되는 포트, 프로토콜, SSL/TLS 터널과 상관없이 애플리케이션 단에서 모든 트래픽을 디코딩함으로써, 전통적인 보안 장비에서는 할 수 없는 비정형 트래픽에 대한 탐지를 가능케 한다는 설명이다.
이번 ‘하트블리드’ 보안 취약점이 발견된 이후, 즉각적인 시스템 보호 기능과 위협 요인 차단 기능을 제공하는 보안 패치들을 자동으로 배포했다. 아울러 자사 보안 시스템 운영체제인 ‘PAN-OS’는 취약점이 발견된 오픈SSL 버전이 적용되지 않았다고 밝혔다.
파이오링크(대표 조영철)도 ‘하트블리드’ 보안 취약점에 대한 긴급 업데이트를 완료했다.
‘하트블리드’ 취약점에 해당되는 제품은 ‘파이오링크 PAS-K’의 하드웨어 SSL 가속 옵션 모델이다.
펜타시큐리티시스템(대표 이석우)은 자사의 웹방화벽 ‘와플(WAPPLES)’이 ‘하트블리드’ 취약점으로부터 안전하다고 발표했다.
‘와플’은 오픈SSL이 아니라 자체 개발한 국정원 검증필 암호모듈을 사용하고, 일부 기능에 한해 오픈SSL 모듈을 쓰기도 하지만 이미 충분히 안정성이 검증된 버전만을 제한적으로 사용하기 때문에 이번 보안 위협으로부터 안전하다는 설명이다.
