침해사고/위협동향

국내 보안업계 “하트블리드 취약점 어쩌나”

이민형

[디지털데일리 이민형기자] 지난 7일 밝혀진 오픈SSL 라이브러리의 취약점 ‘하트블리드(Heartbleed, CVE-2014-0160)’로 인해 국내 보안업체들이 골머리를 앓고 있다.

암호모듈을 사용하는 보안제품에 대한 소스코드 전수조사를 비롯해, 취약점에 대한 보안 업데이트를 고객사에게 제공해야 하기 때문이다.

11일 안랩, 윈스, 시큐아이, 지니네트웍스 등 주요 보안업체들은 자사 제품 중 일부가 하트블리드 취약점에 영향받을 수 있다는 사실을 인지하고 대응책 마련에 나섰다.

국내 업체중 지니네트웍스가 가장 발빠르게 움직이고 있다. 이 회사는 지난 9일 긴급 업데이트를 내놓고 고객사를 직접 방문해 취약점 해소에 나섰다.

이동범 지니네트웍스 대표는 “본사 직원과 파트너사 직원을 모두 동원해 고객사 업데이트에 주력하고 있다”며 “하지만 고객사가 너무나도 많아 업데이트 완료까지는 시간이 걸릴 것으로 예상된다”고 전했다.

하트블리드 취약점은 소스코드 레벨에서 발견된 것이기 때문에 단순히 펌웨어를 업데이트하는 식으론 해결이 불가능하다. 특히 어플라이언스 구축환경이 상이하기 때문에 사람이 직접 수정해야 되는 경우가 많을 것으로 예상되고 있다.

이 대표는 “인력과 시간을 많이 필요로 하는 작업이지만 혹여나 고객사가 피해를 받을 수 있는 사안이기 때문에 최우선으로 진행하고 있다”고 말했다.

안랩과 윈스, 시큐아이 등도 하트블리드에 영향을 받을 수 있는 제품을 추려내고 있으며, 이에 대한 보안 업데이트도 준비하고 있는 것으로 알려졌다.

윈스 관계자는 “자사 침입방지시스템(IPS) 중 일부가 하트블리드에 영향을 받는 것으로 조사됐다”며 “현재 연구소에서 신속한 업데이트를 위하 조치를 취하고 있다”고 전했다.

안랩 관계자 역시 “자사 제품 중 일부가 오픈SSL 라이브러리를 채택해 사용하고 있다. 해당 이슈를 해결하기 위해 관련부서에서 방안을 모색하고 있다”고 말했다.

많은 보안업체들이 하트블리드 이슈에 대응하고 있으나 앞서 지니네트웍스의 사례처럼 많은 인력과 시간이 필요해 지속적으로 문제가 제기될 것으로 예측된다.

아울러 오픈SSL이 아닌 국가정보원 암호모듈인증(KCMVP)을 받은 제품들에 대한 소스코드 전수조사도 필요할 것으로 보인다. 오픈SSL과 KCMVP는 인증체계는 다르지만 뿌리는 같기 때문이다.

김승주 고려대 정보보호대학원 교수는 “KCMVP와 오픈SSL은 암호인증 체계가 다르다. KCMVP를 받기 위해서는 오픈소스를 사용해선 안되기 때문”이라며 “하지만 오픈SSL 라이브러리와 같은 형태로 코딩이 돼 있다면 동일한 취약점을 보유한 것과 같다”고 설명했다.

이른바 KCMVP 인증을 받기 위해 암호모듈을 자체 개발하는 과정에서 오픈SSL의 하트비트(Heartbeat) 문단을 참조했다면 이번 하트블리드 취약점에 영향을 받을 수 있다는 의미다.

전상훈 빛스캔 이사는 “자체 암호모듈을 사용한다고 해도 기본은 동일할 수 있다. KCMVP 인증을 받은 암호모듈을 쓴다고 방심할 것이 아니라 반드시 소스코드 전수조사를 해봐야 한다”고 강조했다.

한편 펜타시큐리티는 하트블리드 취약점이 없는 이전 오픈SSL 라이브러리 버전(0.9.8)을 사용하고 있어 위협에서 벗어났으며, 넥스지는 오픈SSL이 아닌 자체 암호모듈을 사용하고 있어 이번 이슈와는 무관하다고 설명했다.

<이민형 기자>kiku@ddaily.co.kr

이민형
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널