5년 전 하트블리드 발견 이후 오픈SSL에 어떤 일이 있었나

안전한 줄 알았던 통신...하트블리드 취약점 때문에 큰 허점 노출돼
2014년 전 세계 뒤흔들어...오픈SSL에 대한 보안 커뮤니티의 관심 높아져

[보안뉴스 문가용 기자] 2014년 이른바 하트블리드(Heartbleed)라는 취약점이 공개된 이후 오픈SSL은 보안이라는 측면에서 크게 변화해왔다. 오픈SSL이란 오픈소스 라이브러리의 일종으로, TLS와 SSL 프로토콜을 구축하는 데 도움을 주며, 각종 통신을 보호하는 장치로서 널리 사용되고 있다.

[이미지 = iclickart]

2014년 4월 세계는 오픈SSL에서 치명적인 취약점이 있음을 알게 됐다. CVE-2014-0160으로, 하트블리드라는 이름으로 더 잘 알려져 있다. 익스플로잇 될 경우, 아무런 흔적 없이 민감한 정보를 가져갈 수 있게 해준다. “오픈SSL을 사용함으로써 통신이 안전하게 보호되고 있다고 철썩같이 믿고 있다가 뒤통수를 가격당하는 것이 하트블리드 취약점의 문제입니다.” 당시 하트블리드를 발견했던 전문가들이 발표한 내용이다.

하트블리드 취약점을 통해 노출되는 정보는 1) 사용자 이름, 2) 비밀번호, 3) 암호화 되기 전의 콘텐츠였다. 공격자는 사실상 통신을 엿들을 수 있게 되고, 그러면서 데이터 탈취 및 신원 도용도 가능하게 된다. 이런 소식이 나오자마자 하트블리드를 익스플로잇 하는 실제 공격이 여기 저기서 발생했고, NSA와 같은 정보 기관은 이 취약점을 진즉부터 알고 있었다는 주장도 나왔다. 물론 NSA는 이를 부인했다.

하트블리드 이후 보안 전문가들은 오픈SSL에 깊은 관심을 갖기 시작했고, 그에 따라 의미 있는 변화들이 생겨났다. 하트블리드 최초 발견 이후부터 2016년 말까지, 2년이 조금 안 되는 기간 동안 10개가 넘는 고위험군 취약점이 오픈SSL에서 발견됐고 해결됐다. 2017년에는 딱 한 개의 고위험군 취약점이 발견됐고, 2018년과 2019년에는 저위험군으로 분류되는 것들만 발견됐다.

오픈SSL 관리 위원회(OpenSSL Management Committee)에 소속된 맷 카스웰(Matt Caswell)은 “하트블리드 발견 이후 오픈SSL 내부적으로도 엄청난 변화가 있었다”고 증언한다. “하트블리드 전에는 취약점과 패치를 풀타임으로 전담하는 인력이 없었습니다. 그 분야를 소홀히 했다기보다, 자원이 없었던 것이죠. 하지만 하트블리드 이후로는 자원을 추가로 할당해 인력을 새로 고용해야만 했습니다.” 현재 취약점과 패치 전담 인원은 0명에서 2명으로 는 상태다.

커뮤니티의 참여도 확대됐다. “2013년에는 약 30명의 참여자들이 469개의 커밋(commit)을 제출했습니다. 2014년 이후 커뮤니티의 관심이 높아진 이후로 이 숫자는 꾸준히 증가했습니다. 그래서 2019년에는 150명의 전문가들이 1800개가 넘는 커밋을 제출했습니다. 이처럼 커뮤니티 전체의 관심이 높은 수준으로 올라갔음을 내부적으로 체감할 수밖에 없습니다.”

또한 코드의 질을 높이는 필수 리뷰 과정도 추가됐다. “커뮤니티의 커밋은 최소 2명의 전문 개발자의 검토를 받도록 되어 있습니다.” 코드베이스의 외부 감사가 다단계로 증가된 것도 주요한 변화다. “감사는 퍼즈 테스팅, 정적 분석, 트래비스(Travis)와 앱베이어(AppVeyor)의 통합으로 인한 지속적 실험 등으로 구성되어 있습니다. 이런 변화 덕분에 2016년까지 수많은 취약점들이 발견되고 패치된 겁니다.”

하지만 예산 확보에는 아직도 어려움이 있다고 카스웰은 말한다. “하트블리드 사태 직후에는 여러 기관과 조직에서 예산이 들어왔습니다. 리눅스재단(Linux Foundation)도 그 중 하나였고요. 하지만 이제 여러 해가 지났고, 예산은 다시 원점으로 복귀했습니다. 아직도 안정적인 예산 공급처를 찾고 있습니다. 물론 이는 어느 조직에서나 어려운 일이겠죠.”

오픈SSL은 현재 해커원이 호스팅 된 인터넷 버그바운티에도 참여 중이다. 오픈SSL 코드에서 취약점을 찾아낸 전문가들에게 보상금을 주기 위함이다. 현재까지 3만 1천 달러의 상금이 지출됐다. “통신을 보호하는 오픈SSL에 대한 보안 전문가들의 관심이 더 많이 필요합니다. 그래야 인터넷 전체가 안전해지는 것이니까요.”

3줄 요약
1. 5년 전 전 세계 뒤흔들었던 오픈SSL의 취약점, 하트블리드.
2. 암호화 된 통신을 침해해 민감한 정보를 획득할 수 있게 해주는 취약점.
3. 2014년 이후로 보안 전문가들의 관심 높아졌지만, 아직 안정적인 예산 확보는 숙제.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)