글로벌 2000대 기업, 대부분 패치한 것으로 드러났으나

디지털 인증서와 비밀 키 교체는 아직 제대로 이루어지지 않아

[보안뉴스 문가용] 포춘지가 선정한 2000대 글로벌 기업 중 1600개 기업을 조사했더니 단 3%만이 석 달 전 발견된 하트블리드 취약점에 대해 단호한 조치를 취한 것으로 드러났다. 이들만이 대중 인터넷망과 연결된 서버를 완전하게 닫아버린 것.

물론 이 기업들이 운영하고 있는 외부망과 연결되는 서버들 중 하트블리드에 ‘완전히 취약한’ 상태로 남아있는 건 단 1%라는 결과가 희망적이긴 하다. 그렇다고 나머지 99%의 경우 하트블리드에 대한 걱정이 완전히 없어졌다는 건 아니다. 하트블리드에 ‘일정 부분 취약’하다는 판정을 받은 서버가 무려 97% 달하기 때문이다.

97%나 아직 어느 정도 하트블리드에 취약한 이유는 비밀 키를 아직 바꾸지 않았거나 오래된 디지털 인증서를 폐지하지 않았기 때문으로 드러났다. 비밀 키를 바꾸지 않으면 해커가 호스트의 SSL 트래픽을 해독할 수 있게 되고 오래된 디지털 인증서를 폐지하지 않으면 피싱 공격에 활용될 수 있다.

“하트블리드가 세상에 알려진 지 벌써 11주가 지났습니다. 그럼에도 아직 하트블리드에 취약한 시스템이 너무나 많습니다. 패치를 했음에도 취약점을 여전히 가지고 있는 시스템이 손댈 수도 없을 만큼 많이 남아있습니다.” 이번 조사를 실시한 베나피(Venafi)의 부회장인 케빈 보첵(Kevin Bocek) 씨의 설명이다.

“패치를 만병통치약처럼 여기는 사람들의 인식 때문으로 보입니다. 패치만 하면 만사해결이라고 생각하고 취약점에 대해서 싹 잊는 것이죠. 사실 취약점이니 해킹 공격에 대한 철저한 방어를 꾀하려면 이 마음가짐부터 바꿔야 합니다. 요즘 공격이 얼마나 고단수로 들어오는데요.”

하지만 에라타시큐리티(Errata Security)의 CEO인 로버트 그래함(Robert Graham) 씨는 이번 조사 결과를 그리 신뢰하지 못하겠다는 입장이다. 게다가 본질과는 거리가 먼 조사 내용이라고 자신의 의견을 서슴없이 밝혔다. “제가 조사해본 바로는 90%가 넘는 외부망 서버가 애초에 OpenSSL을 버렸습니다. 그러니 비밀 키나 디지털 인증서를 새로 바꿀 필요가 없는 것이죠.”

로버트 그래함 씨는 “더 중요한 문제는 기업이나 조직들에서 ‘위험에 노출된’ 디지털 인증서를 폐지하지 않고 있다는 것”이 본질이라고 주장한다. “조사에서 주장하고자 하는 바는 ‘오래된 인증서’를 폐지해야 한다는 것입니다. 물론 중요한 문제이고 많은 회사들에서 꼭 해야 함에도 하지 않는 것이기도 합니다. 하지만 오래된 것이 꼭 위험에 노출된 것이라고 볼 수는 없습니다.”

화이트옵스(WhiteOps)의 수석연구원인 댄 카민스키(Dan Kaminsky)는 기업들이 인증서 발급기관과 같은 제3자와 함께 일하는 것보다는 내부 서버를 패치하는 데에 좀 더 나은 모습을 보인다고 한다. “기업의 입장에선 자신들이 가진 인증서가 취약하다는 확실한 증거가 없으니 당연히 내부 코딩부터 손을 보는 것이죠.”

또한 카민스키 씨는 이번 조사에서 말하는 인증서라는 것이 인증기관에서 발급된 인증서인지 아닌지 확실하게 밝히고 있지 않다는 점을 지적했다. “인증기관에서 발급한 인증서가 아니라면 꼭 하트블리드가 아니더라도 얼마든지 취약점 공격의 빌미가 될 수 있습니다.” 이번 조사에서 시사 하는 바가 그리 명확하지 않을 수 있다는 의미이다.

퀄리스(Qualys)에서 운영하는 SSL 랩스의 총지휘자인 이반 리스틱(Ivan Ristic)은 “해커들이 비밀 키를 통해 공격하는 경우는 굉장히 드뭅니다”며 “그렇기 때문에 기업들이 비밀 키 바꾸는 것에 소홀했을 수도 있습니다”라고 또 다른 해석을 제공했다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>