하트블리드 취약점 파장 확대…인터넷서비스 비밀번호 변경 필요
10일 보안업계와 주요외신에 따르면 야후, 텀블러, 운더리스트 등 글로벌 인터넷서비스 업체들이 하트블리드 취약점으로 인한 피해 예방을 위해 사용자들에게 비밀번호 변경 등을 요청했다.
하트블리드는 오픈SSL의 확장 규격인 하트비트(Heartbeat)가 클라이언트(웹브라우저)와 웹서버간의 데이터를 전송을 인증하지 않는 점 때문에 발생한 취약점이다. 이 데이터는 복호화된 상태로 메모리에 작성(덤프)되며, 이에 대한 접근도 클라이언트에서 가능해진다.
이를 악용하면 클라이언트에서 웹서버에 접근해 복호화된 데이터를 가로챌 수 있고, 더 나아가 X.509 비밀키까지 취득할 수 있게 된다. 비밀키를 취득하면 이후에 전송, 생성되는 모든 데이터에 대한 복호화도 가능해진다.
이 취약점은 오픈SSL 라이브러리 1.0.1버전에서부터 1.0.1f 버전까지에 영향을 끼친다. 문제는 1.0.1 버전이 2012년에 발표된 버전이란 점이다. 지난 2년동안 취약점이 존재했기 때문에 문제는 더 심각해질 수 있다.
현재 국내외 인터넷서비스 업체들은 긴급 패치를 통해 해당 취약점을 해소하고 있으나 이전에 유출됐을 가능성이 남아있기 때문에 반드시 비밀번호 변경이 필요하다.
일회용비밀번호(OTP)를 사용하는 것도 2차 피해를 예방할 수 있는 방법 중 하나다. 구글, 드롭박스, 에버노트 등 주요 인터넷서비스 업체들은 모바일 애플리케이션 기반 OTP를 제공하고 있다.
이와 관련 보안업계 관계자들은 “비밀키가 유출됐다면 그 즉시 해당 키를 파기하고 새로 발급해서 사용해야 한다. 그렇지 않을 경우 취약점 패치가 의미가 없다”고 입을 모았다.
<이민형 기자>kiku@ddaily.co.kr
[단독] 유료방송 위기여파 PP로…“콘텐츠 사용료 약 1200억원 감소 전망”
2025-04-03 17:44:35문체부, 글로벌 무대에 'K-안무저작권 안내서' 알린다
2025-04-03 17:15:39[DD퇴근길] 5대 AI에게 물었다…"尹 탄핵심판 결과, 어떨 것 같니?"
2025-04-03 17:13:51응급실 온 전통킥보드 사고 환자, 4명 중 3명은 헬멧 안 썼다
2025-04-03 17:13:33