| 하트블리드 등장과 퇴치 그리고 벌써 일 년 | 2015.04.08 | ||
처음이라 그래 며칠 뒤엔 괜찮아져, 라는 노랫말 가사가 현실
하트블리드는 데이터를 안전하게 송수신하기 위한 암호화 프로토콜인 SSL 구현에 필요한 오픈소스 라이브러리, OpenSSL의 보안 취약점이다. 최근 암호화 및 보안 소프트웨어 업체인 베나피(Venafi)가 발표한 자료에 따르면 글로벌 기업 2,000개 가운데 74%가 하트블리드 취약점을 완전히 해결하지 않았다.
왜? “기업들이 하트블리드의 흔적을 완전히 없애지 못하는 이유는 세 가지다. 1)어떤 수순을 거쳐야 하는지 정확히 몰라서 2)인증서와 키가 어디 있는지 몰라서 3)한 번에 많은 양의 인증서와 키를 어떻게 빨리 교체하는지 몰라서”라고 베나피 보안전략 총괄인 케빈 보섹(Kevin Bocek) 부사장이 말했다. “대부분의 기업들은 그들이 사용하고 있는 인증서와 키가 어디 있는지 모르는 게 현실이다”라고 보섹 부사장이 말했다. “최근 보안컨설팅 전문업체인 포네몬사가 발표한 보고서를 보면 기업의 54%가 그들이 사용하고 있는 인증서와 키가 총 몇 개 이고 어디에 있는지에 대한 파악을 하지 못하고 있다” 물론 그렇게 현실적으로 파악하기 어려운 면이 있더라도 제대로 패치하지 못한 것에 대한 책임은 피할 수 없다. 보고서를 보면 하트블리드 후폭풍은 지난 해 8월에 또 발생했다. 미국의 커뮤니티 헬스 시스템즈(Community Health Systems : 이하 CHS)에서 450만명의 환자 정보가 하트블리드에 의해 유출된 것. 공격자들은 하트블리드 취약점을 이용해 CHS 주니퍼 기기의 메모리에 저장된 사용자 정보를 탈취한 것으로 파악됐다. 문제는 이 같은 상황은 지금까지도 이어지고 있다는 점이다. 지난 8월에 하트블리드에 의해 취약한 부분이 해결되지 않은 비중이 76%였는데, 그로부터 8개월이 지난 지금 고작 2% 낮아진 74%로 집계된 데 따른 것이다. “더 심각한 것은 우리가 알고 있는 게 전부가 아니라는 것이다”라고 보섹 부사장을 설명했다. “하트블리드는 매우 조용히 활동하는 경향이 있기 때문이다. 예를 들어 사용자의 아이디와 비밀번호를 탈취된 것이 하트블리드에 의한 것인지 알아내는 것도 매우 힘들다” 전 세계 2,000개 기업을 조사한 결과를 국가별로 살펴보면, 호주의 패치 진행률이 16%로 집계되어 가장 허술한 대처를 하고 있는 것으로 나타났다. 반대로 미국과 독일이 하트블리드 패치률이 각각 41%, 42%를 기록하는 등 그나마 괜찮은 대처를 보이고 있는 것으로 드러났다. “전반적으로 모든 기업들이 그들이 보유하고 있는 인증서와 키에 대한 파악과 관심이 필요한 것으로 보인다”라고 보섹 부사장은 말했다. 이어서 “구글의 경우 인증서 유효기간을 3개월로 줄였다. 이런 식으로 언젠가는 키와 인증서가 해킹될 것이라는 전제하에 접근하는 방식도 필요하다. 그래야만이 향후 또 하트블리드와 같은 거대 공격이 왔을 때 피해를 최소화할 수 있다. 한 가지 확실한 건 우리는 앞으로 더 많은 암호화, 더 많은 키와 인증서들로 보안의 벽을 두껍게 할 것이라는 것이다”
다음은 하트블리드의 작동 원리를 쉽게 설명해준 만화다.
@DARKReading [국제부 주소형 기자(sochu@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||
 |
