[디오데오 뉴스] 캐나다와 영국에서 사상 최악의 인터넷 보안 위협으로 여겨지는 ‘하트블리드 버그’ 첫 피해 사례가 보고돼 피해확산 우려가 커지고 있다.



14일(현지시각) 캐나다 국세청은 인터넷 보안 인증 체계 ‘오픈SSL’의 결함인 하트블리드 버그(심장출혈 버그, CVE-2014-0160)로 보안 시스템에 허점이 발생한 상태에서 사회보장번호 900여 개가 도난당했다고 밝혔다. 하트블리드 버그를 악용한 정보유출 사례가 확인된 것은 이번이 처음이다.



하트블리드 버그는 인터넷 사이트에서 널리 쓰이는 암호화 기술인 오픈SSL의 보안 결함으로, 핀란드에 본사를 둔 인터넷 보안회사 코데노미콘 소속 연구진이 발견해 지난 7일 세상에 알려졌다. 오픈SSL에 ‘심장박동(하트비트)’이라는 확장기능을 덧붙이며 생긴 문제다.



이 버그를 이용하면 누구든지 특정 버전의 오픈SSL을 사용하는 웹 서버에 침입할 수 있으며 이를 통해 개인 암호화키와 사용자 이름·비밀번호·인터넷뱅킹 관련 정보 등 민감한 개인정보를 탈취할 수 있다. 침입 흔적이 남지 않아 피해 발생 여부를 탐지하기도 쉽지 않다.



캐나다 국세청뿐만이 아니라, 영국의 대형 육아사이트도 하트블리드 버그의 취약점을 이용한 해킹 피해를 당하였다. 150만 명이 가입한 육아사이트 ‘멈스넷’(Mumsnet) 설립자 저스틴 로버츠는 영국 BBC방송과의 인터뷰에서 사이트 이용자의 정보가 위험에 처했다고 밝혔다.



그는 “지난 11일 하트블리드 버그가 멈스넷 이용자의 계정 정보에 접근하는 데 이용됐다는 사실이 드러났다”며 이번 해킹으로 이용자의 게시글, 쪽지, 프로필 등에 타인이 접근할 수 있다고 설명했다.



영국 보안업체 넷크래프트 조사에 따르면 2014년 4월 기준으로 전 세계 웹사이트 가운데 66%가 오픈SSL을 쓰는 것으로 알려져 더욱 피해 확산 우려를 낳고 있다. 국내 금융·IT업계 비상이 걸리며 대책 마련에 서두르고 있다.



개인정보 관리 주무부처인 안전행정부는 국가정보원 등 주요 정부사이트에 대한 업그레이드를 진행하고, 시스템에 대한 점검에 나섰다. 한국인터넷진흥원(KISA)은 하트블리드로 인한 피해를 막기 위해 오픈SSL을 사용하는 국내 기업과 기관에 보안패치를 업데이트할 것을 당부했다.



KISA 관계자는 “개인정보 유출 등 2차 피해를 막기 위해서는 오픈SSL 공식 홈페이지에 접속해 지난 7일 배포된 버전으로 업데이트해야 한다”고 밝혔다. 또한, 보안업계 관계자는 “하트블리드는 패치를 통한 업데이트 진행할 경우 아무런 문제가 발생하지 않는다”며 “빠른 업데이트만이 2차 피해를 줄일 수 방법”이라고 강조했다.

최혜미 기자 [email protected]