'하트블리드' 해외 첫 피해 보고…보안 패치 적용해야

[아시아경제 조유진 기자]온라인 정보 암호화 프로그램에 존재하는 심각한 버그인 '하트블리드 버그'에 의한 첫 개인정보 유출 피해 사례가 캐나다와 영국에서 보고되면서 2차 피해 확산 우려가 커지고 있다.

14일(현지시간) 캐나다 국세청은 전산망 보안 시스템이 뚫려 우리나라의 주민등록번호와 유사한 사회보장번호 900여 개가 유출됐다고 밝혔다. 영국에서도 가입자가 150만 명에 달하는 대형 육아사이트가 해킹 피해를 봤다.

해당 기관과 인터넷 사이트는 보안 시스템에 대한 정밀 분석에 들어갔으며, 2차 피해를 막기 위해 개인정보 유출 사실을 통보하고 있다.

하트블리드 버그는 인터넷 사이트에서 널리 쓰이는 암호화 기술인 오픈SSL의 보안 결함으로, 핀란드에 본사를 둔 인터넷 보안회사 코데노미콘 소속 연구진이 발견해 지난 7일 세상에 알려졌다.

이 버그를 이용하면 누구든지 특정 버전의 오픈SSL을 사용하는 웹 서버에 침입할 수 있으며 이를 통해 개인 암호화키와 사용자 이름·비밀번호·인터넷뱅킹 관련 정보 등 민감한 개인정보를 탈취할 수 있다. 또한 침입 흔적이 남지 않아 피해 발생 여부를 탐지하기도 쉽지 않다.

미국 금융당국은 온라인 결제 등의 개인정보를 취급하는 전 세계 웹사이트 중 많은 수가 정보유출 위험에 노출된 상태며 따라서 신속한 대책을 취하도록 대형 금융기관에 지시했다.

하트블리드가 위험한 취약점으로 평가되는건 구글, 야후, 페이스북, 아마존웹서비스(AWS), 드롭박스 등 웹 기반 서비스, 시스코 시스템즈, 주니퍼네트웍스 등 네트워크 장비 회사, 안드로이드 4.1.1 젤리빈 운영체제(OS)를 적용한 주요 스마트폰 등으로 IT업계 전반에 영향을 미칠 수 있다.

문제의 제품들은 안드로이드 젤리빈 4.1.1이 탑재된 것으로, 삼성 갤럭시 S3, 노트 2, 구글 넥서스 7 등 여러 기종이 이에 해당할 수 있다. 특히 갤럭시 노트 2 사용자들은 각별히 주의해야 한다고 전문가들은 말한다.

아직까지 이 취약점을 이용해 안드로이드 단말기를 공격한 사례는 보고된 바 없으나, 앞으로 이를 노리는 해커들이 등장할 가능성을 배제할 수 없다.

하트블리드로 인한 피해를 막기 위해 오픈SSL 보안패치를 업데이트해야 한다. 보안패치는 오픈SSL 공식사이트에서 다운로드 받을 수 있다.

한국인터넷진흥원 관계자는 "오픈SSL을 사용하는 기업이나 기관 사이트들은 오픈SSL 공식 홈페이지에 접속해 지난 7일 배포된 버전으로 업데이트해야 한다"고 말했다.

조유진 기자 tint@asiae.co.kr