침해사고/위협동향

하트블리드 취약점 파장 확대…인터넷서비스 비밀번호 변경 필요

이민형

[디지털데일리 이민형기자] 아마존, 야후 등 국내외 인터넷서비스를 이용하는 사용자들은 한시라도 빨리 비밀번호를 변경해야 될 것으로 보인다. 지난 7일 밝혀진 하트블리드(Heartbleed, CVE-2014-0160) 취약점으로 인해 서비스 로그인 등에 사용되는 개인정보의 유출이 의심되고 있기 때문이다.

10일 보안업계와 주요외신에 따르면 야후, 텀블러, 운더리스트 등 글로벌 인터넷서비스 업체들이 하트블리드 취약점으로 인한 피해 예방을 위해 사용자들에게 비밀번호 변경 등을 요청했다.

하트블리드는 오픈SSL의 확장 규격인 하트비트(Heartbeat)가 클라이언트(웹브라우저)와 웹서버간의 데이터를 전송을 인증하지 않는 점 때문에 발생한 취약점이다. 이 데이터는 복호화된 상태로 메모리에 작성(덤프)되며, 이에 대한 접근도 클라이언트에서 가능해진다.

이를 악용하면 클라이언트에서 웹서버에 접근해 복호화된 데이터를 가로챌 수 있고, 더 나아가 X.509 비밀키까지 취득할 수 있게 된다. 비밀키를 취득하면 이후에 전송, 생성되는 모든 데이터에 대한 복호화도 가능해진다.

이 취약점은 오픈SSL 라이브러리 1.0.1버전에서부터 1.0.1f 버전까지에 영향을 끼친다. 문제는 1.0.1 버전이 2012년에 발표된 버전이란 점이다. 지난 2년동안 취약점이 존재했기 때문에 문제는 더 심각해질 수 있다.

현재 국내외 인터넷서비스 업체들은 긴급 패치를 통해 해당 취약점을 해소하고 있으나 이전에 유출됐을 가능성이 남아있기 때문에 반드시 비밀번호 변경이 필요하다.

비밀번호 변경을 하기전에 웹브라우저 주소창에 SSL VPN이 정상적으로 작동하는지(녹색창 혹은 HTTPS 적용여부)를 확인해야 한다. 이 과정을 확인하지 않는다면 비밀번호를 변경하더라도 비밀키(프라이빗 키) 유출로 인한 제2, 3의 피해가 발생할 수 있기 때문이다.

일회용비밀번호(OTP)를 사용하는 것도 2차 피해를 예방할 수 있는 방법 중 하나다. 구글, 드롭박스, 에버노트 등 주요 인터넷서비스 업체들은 모바일 애플리케이션 기반 OTP를 제공하고 있다.

이와 관련 보안업계 관계자들은 “비밀키가 유출됐다면 그 즉시 해당 키를 파기하고 새로 발급해서 사용해야 한다. 그렇지 않을 경우 취약점 패치가 의미가 없다”고 입을 모았다.

<이민형 기자>kiku@ddaily.co.kr

이민형
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널