OpenSSL 취약점, 패치되지 않은 채 무방비 방치 ‘심각’

지난해 쇼단에서 발표한 하트블리드 취약점 현황 보고서, 한국 2위
OpenSSL 보안 취약점 곳곳에서 발견되는데...여전히 무방비 방치
오픈소스 사용내역 파악과 함께 보안 리스크 식별 필요

[보안뉴스 김경애 기자] 지난 3월 한국인터넷진흥원은 OpenSSL에서 서비스 거부 공격과 보안기능 우회가 가능한 취약점이 발견돼 패치 발표와 함께 주의를 당부한 바 있다. 발견된 취약점은 반복 입력으로 스택을 초과해 발생하는 서비스 거부 취약점(CVE-2018-0739)과 최하위 비트만 비교하는 점을 악용함으로써 보안 기능 우회가 가능한 취약점(CVE-2018-0733)이다.

하지만 오픈소스에 보안 취약점이 여전히 존재함에도 취약점 패치가 이뤄지지 않거나 무방비로 방치된 경우가 상당수인 것으로 조사됐다. 특히, 파급력이 큰 하트블리드 취약점은 지난해 국내에서 대거 발견된 바 있다. 쇼단이 발표한 하트블리드 보고서에 따르면 전세계 하트블리드 발견현황에서 한국이 2위를 차지했으며, 전세계 기업 상위 10개 가운데 국내 기업 3곳이 포함돼 심각한 상황임을 보여주고 있다.

[자료=블랙덕소프트웨어]

오픈소스 SSL(Secure Socket Layer)의 취약점으로 잘 알려진 하트블리드는 사용자들의 로그인 정보나 암호화된 정보의 개인키와 비밀키를 탈취해 개인정보를 탈취할 수 있는 취약점이다.

해외의 경우 하트블리드 취약점으로 개인정보가 유출된 글로스터 시의회(Gloucester City Council)는 데이터보호법 위반 판결을 받아 ICO(Information Commissioner’s Office)로부터 지난해 4월 10만 파운드의 벌금이 부과된 바 있다.

해당 사건에서 해커는 경찰관의 사서함에서 30,000건 이상의 전자메일을 다운로드 할 수 있었고, 30,000개의 전자메일에서 시의회의 전직 또는 현직 직원 30~40 명에 대한 민감한 재무 정보를 검색할 수 있었던 것으로 드러났다. 또한, 해커로부터 하트블리드 취약점을 통해 16명의 이용자 사서함에 침투했다는 사실을 전달 받았다.

결국 이 문제는 해커가 취약점을 이용해 공격했다는 사실이며, 글로스터 시의회는 이러한 취약점을 알고 있었음에도 제대로 관리하지 못해 해킹사고로까지 이어졌다는 점이다.

[자료=블랙덕소프트웨어]

국내 역시 이러한 취약점에 노출돼 있는 경우가 앞서 언급한 바와 같이 부지기수에 달한다. 블랙덕소프트웨어코리아(대표이사 김택완)에 따르면 2004년 이후 7만 9,000개 이상의 새로운 보안 취약점이 발견되고 있다. 2016년에만 3,623개의 새로운 오픈소스 보안 취약점이 발견되는 등 하루 평균 10개 가량으로 10% 이상 계속 증가하고 있는 것으로 분석됐다.

이처럼 기업이나 기관에서 취약점이 발견돼도 무방비로 방치하거나 제대로 패치되지 않는 경우가 상당수다. 더욱이 오픈소스 활용은 점점 증가하는 추세인 반면, 취약점을 이용한 공격은 날이 갈수록 증가하고 있어 문제가 더욱 심각하다.

블랙덕소프트웨어코리아의 김택완 대표는 “OpenSSL의 보안취약점 하트블리드는 발생한지 4년이 지났지만, 아직도 화두가 되고 있는 보안취약점이다. 이와 함께 세간의 이슈가 됐던 보안취약점은 Shellshock, Freak, Poodle, Ghost 등과 같이 다양하다”며, “오픈소스 보안관리는 어떤 오픈소스를 사용하고 있는지 아는 것에서부터 출발한다. 사용하고 있는 오픈소스 사용내역을 파악해 이에 대한 보안 리스크를 제대로 식별하지 못한다면, 하트블리드처럼 기존에 알려진 보안취약점으로 인한 또 다른 피해사례도 앞으로 계속 발생할 것”이라고 지적했다.
[김경애 기자(boan3@boannews.com)]

올해 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)