대다수 웹사이트 ‘오픈SSL’ 사용
심각한 보안구멍 2년넘게 방치
개인정보 다량 유출 가능성

전 세계 인터넷망에 ‘사상 최악의 버그’(보안결함) 경계령이 내려졌다.

지난 2년 간 전 세계 컴퓨터의 3분의 2가 ‘하트블리드’(Heartbleed) 버그로 보안에 구멍이 생겨 다량의 개인정보가 유출됐을 수도 있다는 주장이 제기됐기 때문이다. 한 보안 전문가는 하트블리드를 두고 “아마 인터넷이 발견한 가장 최악의 버그일 것”이라고 말하기도 했다.

9일(현지시간) 미국 CNN머니 등 주요 외신들은 인터넷에서 각종 정보를 암호화하는데 쓰는 핵심 기술인 ‘오픈SSL’ 에서 하트블리드라고 불리는 심각한 보안 결함이 발견돼 신용카드 번호나 사용자 아이디, 비밀번호 등 개인정보들이 노출될 가능성이 높다고 경고했다.

이 버그를 발견한 것은 핀란드 인터넷 보안회사인 코데노미콘 연구진들이었다. 연구진은 특정 버전의 오픈 SSL을 사용하는 웹 서버에 침입이 가능해 개인정보도 탈취할 수 있다고 지적했다.

오픈SSL은 사용자와 서버 사이에 오고가는 데이터를 암호화하는 소프트웨어로 금융거래시 주민등록번호나 공인인증서 암호 등을 암호화해 해킹의 피해를 방지하는 기술이다.

하트블리드는 이같은 암호화를 무력화하며 특히 언제 어디에서 누가 해킹을 했는지 그 흔적을 남기지 않아 2년 이상 활동이 가능했다.

이 버그는 오픈 SSL 1.0.1버전과 1.0.1f 버전에서 발견된 것으로 알려졌다. 그동안 2년 넘게 방치돼 피해 규모는 정확히 파악하기가 어려운 실정이다.

해커들의 목표가 되는 대다수의 주요 웹사이트들이 웹서버 프로그램으로 아파치나 엔진X 등을 사용하고 있으며 두 프로그램 모두 오픈SSL을 쓰고 있어 하트블리드 버그에 취약하다. 아파치, 엔진X 두 프로그램의 보급률은 81%에 이르는 것으로 알려졌다.

아마존, 구글, 야후 등이 이 버그의 목표가 됐다. 야후는 주요 웹사이트의 업그레이드를 개시했다고 밝혔으나 상당수의 웹사이트들이 아직 패치가 되지 않은 것으로 전해졌다. 야후가 인수한 블로그 서비스 텀블러는 이용자들에게 아이디와 비밀번호를 바꾸라고 경고하기도 했다.

마켓워치는 하트블리드에 대한 대응을 위해 ▷비밀번호를 변경하고 다단계 본인인증 확인 방법을 사용할 것▷공공장소에서 자동으로 접속되는 와이파이(Wi-Fi) 네트워크에 유의할 것▷귀찮아도 보안 업데이트를 모두 설치하고 경고문을 꼭 읽을 것▷(이메일 등)자신의 계정이 언제 어느곳에서 접속됐는지 모니터링할 것 등을 주문했다.

한편 국내에서도 한국인터넷진흥원이 정부 및 인터넷 기관에 오픈SSL을 사용할 경우 보안패치를 업데이트 할 것을 당부했다. 오픈SSL은 새로나온 버전인 1.0.1g나 보안패치 버전을 적용해야 하며 인증서 재발급, 관리자 비밀번호 교체 등으로 하트블리드로 인한 피해를 방지할 수 있다. 

문영규 기자/ygmoon@heraldcorp.com