전세계 웹사이트의 절반 이상이 사용하는 암호화 규약(프로토콜)에서 '하트블리드(Heartbleed)'라는 치명적인 버그가 발견돼 대규모 해킹 가능성이 높아지고 있다. 정부가 뒤늦게 대응책 마련에 나서고 있지만 중소기업들은 사실상 보안공백 상태에 빠져 있는 것으로 파악되고 있다.
16일 미래창조과학부와 한국인터넷진흥원(KISA)은 최근 중대 인터넷 보안 위협으로 부상한 오픈 SSL 취약점 하트블리드에 대응하기 위해 관계 부처와 공동 대응에 나섰다고 밝혔다. 앞서 미래부는 지난 9일 인터넷침해대응센터(KrCERT) 홈페이지에 하트블리드에 대한 설명과 조치요령을 공지하고 10일 주요 홈페이지와 웹하드 등에 이 취약점을 악용한 공격에 주의하라고 개별 안내했다.
하트블리드는 사상 최악의 보안 버그로 불리고 있다. 외국이나 국내 대부분의 웹사이트는 웹브라우저와 웹서버 간에 데이터를 안전하게 주고받기 위해 암호화 업계 표준 프로토콜(SSLㆍSecure Sockets Layer)을 사용하고 있다. 이 SSL은 오픈 소스(무료로 공개된 소스코드) 기반으로 구현돼 오픈 SSL이라고 부르며 하트블리드 버그는 여기에서 발견된 결함이다. 통신신호인 하트비트상에서 발견된 결함이라 해서 하트블리드라는 이름이 붙었으며 단어 그대로 '심장 출혈처럼' 개인의 이름이나 비밀번호, 인터넷뱅킹 관련 정보 등 민감한 개인정보가 유출될 수 있음을 의미한다.
게다가 침입 흔적이 남지 않아 피해발생 여부를 탐지하기 어려운 실정이다. 보안 전문가들은 오픈 SSL이 사실상 인터넷상의 거의 모든 관문에 설치된 통신 프로그램이기 때문에 서버·PC 등 컴퓨터는 물론 스마트폰과 태블릿PC 등 웹을 이용하는 모든 기기에서 암호가 무력화되는 문제를 일으킬 수 있다고 경고한다.
실제로 14일(현지시간) 캐나다 국세청에 해킹이 발생해 사회보장번호 900개가 빠져나가고 영국에서는 150만명이 가입한 대형 육아사이트 멈스넷(Mumsnet)에서 해킹이 발생하기도 했다.
그러나 국내에서는 이에 대한 대응책이 부실한 상황이다. 일단 오픈 SSL 업데이트나 보안패치 설치로 급한 불을 끌 수 있지만 대응책에 대한 홍보 자체가 부족한 상황이어서 이를 실행한 국내 기업이 몇 안된다는 점이다. 현재 국내 정보기술(IT) 기업 중에서 하트블리드 관련 대응을 마친 기업은 네이버나 다음·카카오톡 같은 곳 정도다.
더 큰 문제는 중소기업이다. 중소기업들은 하트블리드 버그 자체에 대한 인식도가 낮고 오픈 SSL 버전 등에 대한 파악도 제대로 이뤄지지 않은 상황이기 때문이다. 한 보안 전문가는 "업그레이드나 패치를 하더라도 기존 시스템과의 충돌 문제 등이 발생할 가능성이 있어 함부로 못하는 경향이 있다"며 "이를 보완하려면 보안 기술자가 필요한데 대기업에 비해 중소기업은 그런 인력이 현저히 부족한 상황"이라고 말했다.
임종인 고려대 정보보호대학원 교수는 "하트블리드 버그가 중소기업의 산업정보 유출통로로 악용될 가능성을 배제할 수 없다"며 "정부 차원에서 대책을 마련하는 것이 필요하다"고 지적했다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >