하트블리드 등장과 퇴치 그리고 벌써 일 년

처음이라 그래 며칠 뒤엔 괜찮아져, 라는 노랫말 가사가 현실
소문난 잔치에 먹을 것 없다는 속담 역시 현실

[보안뉴스 주소형] 사상 최악의 취약점으로 알려진 하트블리드(Heartbleed)가 세상에 드러난 지 어느 새 1년이라는 시간이 흘렀다. 워낙에 화제성이 높았던 사건이었던 만큼 보안업계에 높은 경각심을 일깨워준 것으로 알려져 있다. 하지만 명성 만큼의 변화는 아직 이루어지지 않은 것으로 보인다.

하트블리드는 데이터를 안전하게 송수신하기 위한 암호화 프로토콜인 SSL 구현에 필요한 오픈소스 라이브러리, OpenSSL의 보안 취약점이다. 최근 암호화 및 보안 소프트웨어 업체인 베나피(Venafi)가 발표한 자료에 따르면 글로벌 기업 2,000개 가운데 74%가 하트블리드 취약점을 완전히 해결하지 않았다.

하트블리드 패치는 그리 단순하지 않다. 기타 소프트웨어 취약점들과는 달리 패칭(patching)하는 것만으로는 부족하기 때문. 이를 해결하려면 예전 SSL의 인증서를 폐지시키고 새로운 인증서와 키를 발급받아야 한다. 번거롭고 귀찮다.

베나피 보고서에 따르면 전 세계 2,000여개의 기업 가운데 하트블리드에 감염된 58만개의 호스트들은 완전히 해결되지 않았다. 호스트 전부가 아닌 부분적으로 해결한 기업들이 대부분인 것으로 나타났다. 이에 미국 IT 리서치 시업인 가트너(Gartner)는 이를 기업들의 게으른 대처 탓이라고 꼬집었다. 패치를 하긴 하는데 개인 키로 전환시켜 놓거나 예전 인증서 폐기를 하지 않던가 등 대충 해 놓은 기업들이 많았기 때문이다. 

왜?

“기업들이 하트블리드의 흔적을 완전히 없애지 못하는 이유는 세 가지다. 1)어떤 수순을 거쳐야 하는지 정확히 몰라서 2)인증서와 키가 어디 있는지 몰라서 3)한 번에 많은 양의 인증서와 키를 어떻게 빨리 교체하는지 몰라서”라고 베나피 보안전략 총괄인 케빈 보섹(Kevin Bocek) 부사장이 말했다.

“대부분의 기업들은 그들이 사용하고 있는 인증서와 키가 어디 있는지 모르는 게 현실이다”라고 보섹 부사장이 말했다. “최근 보안컨설팅 전문업체인 포네몬사가 발표한 보고서를 보면 기업의 54%가 그들이 사용하고 있는 인증서와 키가 총 몇 개 이고 어디에 있는지에 대한 파악을 하지 못하고 있다”

물론 그렇게 현실적으로 파악하기 어려운 면이 있더라도 제대로 패치하지 못한 것에 대한 책임은 피할 수 없다. 보고서를 보면 하트블리드 후폭풍은 지난 해 8월에 또 발생했다. 미국의 커뮤니티 헬스 시스템즈(Community Health Systems : 이하 CHS)에서 450만명의 환자 정보가 하트블리드에 의해 유출된 것. 공격자들은 하트블리드 취약점을 이용해 CHS 주니퍼 기기의 메모리에 저장된 사용자 정보를 탈취한 것으로 파악됐다.

문제는 이 같은 상황은 지금까지도 이어지고 있다는 점이다. 지난 8월에 하트블리드에 의해 취약한 부분이 해결되지 않은 비중이 76%였는데, 그로부터 8개월이 지난 지금 고작 2% 낮아진 74%로 집계된 데 따른 것이다.

“더 심각한 것은 우리가 알고 있는 게 전부가 아니라는 것이다”라고 보섹 부사장을 설명했다. “하트블리드는 매우 조용히 활동하는 경향이 있기 때문이다. 예를 들어 사용자의 아이디와 비밀번호를 탈취된 것이 하트블리드에 의한 것인지 알아내는 것도 매우 힘들다”

전 세계 2,000개 기업을 조사한 결과를 국가별로 살펴보면, 호주의 패치 진행률이 16%로 집계되어 가장 허술한 대처를 하고 있는 것으로 나타났다. 반대로 미국과 독일이 하트블리드 패치률이 각각 41%, 42%를 기록하는 등 그나마 괜찮은 대처를 보이고 있는 것으로 드러났다.

“전반적으로 모든 기업들이 그들이 보유하고 있는 인증서와 키에 대한 파악과 관심이 필요한 것으로 보인다”라고 보섹 부사장은 말했다. 이어서 “구글의 경우 인증서 유효기간을 3개월로 줄였다. 이런 식으로 언젠가는 키와 인증서가 해킹될 것이라는 전제하에 접근하는 방식도 필요하다. 그래야만이 향후 또 하트블리드와 같은 거대 공격이 왔을 때 피해를 최소화할 수 있다. 한 가지 확실한 건 우리는 앞으로 더 많은 암호화, 더 많은 키와 인증서들로 보안의 벽을 두껍게 할 것이라는 것이다” 

다음은 하트블리드의 작동 원리를 쉽게 설명해준 만화다.

https://xkcd.com/1354/

@DARKReading

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  업무 관련 메일로 위장해 유포 중인 악성코드...

• 2

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 3

  배블로더, 그리 획기적이지 않은 기술을 매우...

• 4

  최근 페이스북에서 유행하는 멀버타이징 캠페인...

• 5

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  악명 높은 봇넷 엔지오웹, 각종 범죄 인프라...

• 3

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 4

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 2

  개인정보 유출 사고 대응방안 논의... 공공...

• 3

  인류를 위한 인공지능 거버넌스, 어떤 제안 ...

• 4

  깃허브에서 활동하는 개발자들을 노리는 고급 ...

• 5

  [단독] 한국지능정보사회진흥원, 관리자계정 ...