'하트블리드' 비상…보안업계 "업데이트하면 피해 사라져"

"업데이트 서둘러야"

-

[아시아경제 조유진 기자] 온라인 정보 암호화 프로그램에 존재하는 심각한 버그인 '하트블리드 버그'로 국내 금융·정보기술(IT)업계에 비상이 걸렸다. 하트블리드를 악용한 첫 정보유출 피해 사례가 보고되면서 개인정보 보호에도 경보등이 켜졌다.

현재 전 세계 웹사이트의 3분의 2 가량이 이번에 보안 취약점이 발견된 오픈SSL 기술을 채택하고 있어 관계당국과 관련 업계는 대책 마련에 분주하다.

개인정보 관리 주무부처인 안전행정부는 국가정보원 등 주요 정부사이트에 대한 업그레이드를 진행하고, 시스템에 대한 점검에 나섰다.

한국인터넷진흥원(KISA)은 하트블리드로 인한 피해를 막기 위해 오픈SSL을 사용하는 국내 기업과 기관에 보안패치를 업데이트할 것을 당부했다.

KISA 관계자는 "인터넷 사이트들이 널리 사용하는 암호화 기술인 오픈SSL에서 버그가 발견돼 개인 정보 유출 가능성에 대한 우려가 커지고 있다"며 "개인정보 유출 등 2차 피해를 막기 위해서는 오픈SSL 공식 홈페이지에 접속해 지난 7일 배포된 버전으로 업데이트해야 한다"고 강조했다.

하트블리드란 인터넷 사이트에서 널리 쓰이는 암호화 기술인 오픈SSL의 보안 결함으로, 핀란드에 본사를 둔 인터넷 보안회사 코데노미콘 소속 연구진에 의해 지난 7일 세상에 알려졌다.

이 버그를 이용하면 누구든지 특정 버전의 오픈SSL을 사용하는 웹 서버에 침입할 수 있으며 이를 통해 개인 암호화키와 사용자 이름ㆍ비밀번호ㆍ인터넷뱅킹 관련 정보 등 민감한 개인정보를 탈취할 수 있다. 또한 침입 흔적이 남지 않아 피해 발생 여부를 탐지하기도 쉽지 않다.

이 취약점을 악용한 첫 피해 사례가 캐나다와 영국에서 보고됐다. 지난 14일(현지시간) 캐나다 국세청 전산망 보안 시스템이 뚫려 우리나라의 주민등록번호와 유사한 사회보장번호 900여개가 유출됐고, 영국에서도 가입자가 150만명에 달하는 대형 육아사이트가 해킹 피해를 봤다.

오픈SSL 기반의 웹사이트를 운영하는 구글, 야후, 페이스북, 트위터, 아마존웹서비스(AWS)등 글로벌 웹서비스들도 보안패치를 적용하는 등 즉시 대응에 나서고 있다. 바클레이스, 이베이, 에버노트, HSBC, 링크드인 등도 보안패치 적용을 완료한 상태다.

보안업계 관계자는 "하트블리드는 패치를 통한 업데이트를 진행할 경우 아무런 문제가 발생하지 않는다"며 "빠른 업데이트만이 2차 피해를 줄일 수 방법"이라고 말했다.

조유진 기자 tint@asiae.co.kr