하트블리드(Heartbleed)사태, 한국은 안전한가?

   IT기술의 급격한 발전에 따라 인터넷과 스마트폰의 사용은 우리 삶에서 더이상 떨어질 수 없는 것이 되었습니다. 우리는 20년 전, 10년 전에는 영화나 상상 속에서만 가능하던 일들을 일상에서 체험하기도 하고, 가까운 미래에 더 많은 것들이 현실이 될 것이라는 기대 속에서 살고 있습니다. 인터넷과 모바일 기술의 발전에 따라 우리 삶의 많은 부분이 편리해 졌지만 이에 비례해서 우리의 개인 정보가 위협받는 횟수도 늘어나고 있습니다. 20년, 더 가깝게는 10여년 전만 해도 스미싱, 주민등록번호 유출과 도용이라는 말은 낯선 것이었지만 이제는 너무나도 익숙한 것이 되어버린 지금입니다. 그리고 하루가 멀다하고 '정보 유출 사태'가 발생하고 있습니다. 그런 가운데 지난 4월 초, 범 국가적인 차원의 '인터넷 보안 문제'가 드러나면서 미국을 비롯한 국가들의 웹 사이트에서는 그동안 뚫린 줄도 모르고 있던 '보안 구멍'을 메꾸느라 분주하게 움직이고 있습니다. 그러나 정작 인터넷 보급률과 인터넷 사용률, 의존률 등 인터넷 부문에 있어서 둘째가라면 서러워 할 대한민국에서는 비교적 조용한 분위기 입니다. 알고도 모르는 척 하는 것일까요? 아니면 안전한 걸까요?

△ '하트블리드' 전 세계 인터넷 보안에 구멍이 뚫렸다.

http://heartbleed.com

---

- '하트블리드(Heartbleed)'가 뭔가?

 우리가 인터넷을 사용할 때, 인터넷의 사용자와 서버 상호간에 데이터를 주고 받으면서 통신을 하게 됩니다. 이때 서로 정보를 교환하면서 사용하는 것이 OpenSSL(Secure Sockets Layer 혹은 TLS, Transport Layer Secure라고 한다.)이라는 오픈소스 소프트웨어입니다. 사용자의 컴퓨터나 모바일에서 웹사이트의 서버로부터 암호화된 정보를 주고 받으면서 통신을 하게 되는데, 데이터를 서로 주고받는 과정에서 같은 양의 데이터를 주고 받습니다. 이러한 과정을 하트비트(HeartBeat)라고 부릅니다. 그런데 문제는 서로 같은 양의 데이터를 주고받지 않았다는 데 있습니다.

△ 인터넷을 할 때, 서버와 사용자 간에 같은 양의 데이터를 주고 받아야 한다.

 같은 양의 데이터를 주고 받지 않았다는 것이 왜 문제가 될까요? '블리드(Bleed)'아주 치명적으로, 죽을 정도로 정보가 줄줄 새어나갔다는 뜻입니다. 내가 1이라는 정보를 보내면 서버에서도 1을 보내주도록 기본 설계가 되어 있지만, 실제로 1을 보내면서 거짓으로 100을 보낸 것 처럼 하면 서버에서 나에게 100만큼의 정보를 주는 것입니다. 여기에서 큰 문제가 발생합니다. 나에 대한 정보 1을 받아야 하지만, 서버는 99의 정보를 채워서 보내야 하기 때문에 이곳저곳에서 아무 정보나 다 긁어서 보내게 됩니다. 다시 말해, 다른 사람의 개인 정보 예컨데, 아이디, 비밀번호, 카드번호, 전화번호, 심지어는 대화내용 등 모든 정보가 여기에 담길 수 있다는 것입니다. 서버가 가지고 있는 모든 정보들이 거짓으로 정보를 요청한 사람에게 간다는 것이죠.

△ 해커는 서버에 4글자를 보내지만, 서버는 해커에게 40000글자를 보내게 된다. 이 과정에서 비밀번호, 카드번호 등이 유출될 수 있다.

출처 : 위키피디아(en) - http://en.wikipedia.org/wiki/Heartbleed_bug

---

- 하트블리드 사태, 왜 문제되는가?

 우리나라에서는 현재 크게 부각되고 있지 않지만, '하트블리드'사태의 심각성은 예상을 훨씬 뛰어넘습니다. 일단 가장 큰 문제는 '문제가 있다는 것을 발견한 뒤 문제 해결을 위한 긴급 패치가 나온 4월 7일'이전까지 얼마나 많은 양의 정보가 유출되었는지 파악할 길이 없다는 것입니다. 많은 전문가들이 엄청난 정보들이 새어 나갔을 것이라고 추측하지만 그 정보의 양이 얼마인지 모른다는 것입니다. 그리고 미국 국가정보국(NSA)이 2년 전부터 '하트블리드'를 인지했음에도 불구하고 외부에 알리지 않았다는 의혹을 받고 있는 것으로 미루어 볼 때, 정보가 새어나간 것은 최소 2년이 넘습니다. 

  그동안 얼마나 많은 정보가 빠져나갔을까요? 우리 나라에서는 최근 너무 많은 정보가 유출되어서 이제는 정보 유출에 무감각 해진 걸까요? 아니면, 얼마나 많은 정보가 새어나갔는지 모르기 때문에 정보가 흘러나가지 않았다고 말하고 싶은 걸까요?

 구글, 페이스북을 비롯한 외국의 유명 사이트들은 이미 자신의 사이트들이 '하트블리드'에 해당되며 보안상에 문제가 있었다고 발표를 했고 이에대해 발빠르게 대처를 하고 있습니다. 지난 4월 7일 배포된 OpenSSL 1.0.1g버전으로의 패치를 통해 보안상의 문제점을 보완했으며, 사용자들에게 비밀번호를 바꿀 것을 권장하고 있습니다. 

 또한, Codenomicon에서는 하트블리드 버그 사이트를 통해 이 문제를 알리고 해결에 주력하기 위해 별도의 사이트를 만들어 운영하고 있습니다. http://heartbelld.com - 하트브리드 버그에 대한 내용과 대처 방법 등 정보를 알 수 있고 정보를 공유하는 사이트이다.

△ 미국의 IT전문 사이트 Cnet.com에 공개된 하트블리드 패치 사이트 현황. 

구글과 페이스북, 야후 등은 패치가 되었기 때문에 비밀번호를 바꾸라고 하고 있다. 그러나 CNN과 워드프레스는 패치가 되지 않았다.

---

- '하트블리드'해당 사이트에서 비밀번호 변경해도 소용 없다?

 현재 우리나라의 얼마나 많은 사이트들이 '하트블리드'사태에 해당되는 곳인지 파악조차 되지 않고 있습니다. 외국의 경우에는 대대적으로 피해를 알리고 보안 패치를 통해서 사이트 보안을 강화하고 비밀번호 변경을 권장하고 있는데, 국내의 IT, 금융 사이트들에서는 별다른 말이 없습니다. 최근 개인정보유출 등의 사태로 인해서 '개인 정보 보호'에 관한 국민들의 신경이 곤두 서 있는 가운데 이번 사태는 조용히 넘어가려는 것 아닌가 하는 생각을 하게 만듭니다.  

△  세계적 보안전문가 브루스 슈나이어를 비롯한 외국 매체들은 이번 '하트블리드'사태를 '대재앙'이라고 표현했다.

기사원문 보러가기 ☞ www.express.co.uk

  중요한 것은 '하트블리드'피해 사이트 중 '보안 패치가 되지 않은 사이트'에서 비밀번호를 변경해도 소용이 없다는 것입니다. 왜냐하면 변경한 비밀번호는 또 다시 유출될 것이기 때문입니다. 따라서, 우리나라의 인터넷 사이트들도 '하트블리드' 사이트 해당 여부를 알려, 국민들이 대처할 수 있도록 하는 게 옳은 방향이 아닌가 하는 생각을 해 봅니다.

  최근 인터넷을 통한 개인정보 유출의 횟수가 급격히 늘어나고 있습니다. 주민등록번호, 전화번호, 주소, 아이디, 비밀번호 거기에 더해 카드번호까지 유출이 되고 있는 실정입니다. 일전에 많은 분들이 글로 남겨주셨고, 필자도 '개인정보'에 관한 글을 일전에 남긴 적이 있습니다만, 모두가 다 개인정보 보호에 노력하면서 정부 차원에서도 정보통신 보안 분야에 대한 투자를 아끼지 말아야 할 것입니다. 그리고, 기업들의 보안에 대한 인식이 많이 재고되어야 할 것 같다는 생각을 해 봅니다. 감사합니다.

---

◆ '하트블리드 사태'관련 글 보기 ◆

 - 늘어나는 개인정보 유출 사건, 우리가 바라는 것은?

 - 스팸 차단, 스미싱 차단 앱/어플 추천 - 후후(whowho), 피싱가드

 - 윈도우XP 지원 종료가 불편함을 주는 이유.

 - 아직 윈도XP 사용? 그렇다면 이것부터 하자!

---