지난 2014년 04월 07일, 핀란드의 보안회사 코데노미콘에 의하여 발견된 하트블리드(Heartbleed)는 인터넷 보안 인증 체계인 OpenSSL 특정 버전에서 발견된 보안 취약점으로, 이 버그를 이용하면 누구나 웹서버에 침입하여 인터넷 사용자와 해당 사이트 서버 사이에 오가는 행동을 엿보는 것은 물론이고, 이름/주민등록번호/휴대폰 번호등과 같은 개인정보를 탈취해가는 버그입니다. 이 포스트에서는 최근 많은 이슈가 되고 있는 하트블리드(Heartbleed)에 대해서 알아보고, 사용자가 대처하는 방법을 소개해드리고자 합니다.
하트블리드(Heartbleed)란 무엇인가요?
지난 2014년 04월 07일, 핀란드의 보안회사 코데노미콘에 의하여 발견된 하트블리드(Heartbleed)는 사용자가 인터넷 웹서비스를 사용하기 위하여 로그인 또는 회원가입을 할 때 입력하는 개인정보(아이디/비밀번호/주민등록번호/주소 등)를 암호화하여 서버에 전송할 수 있도록 해주는 OpenSSL의 특정 버전에서 발견된 보안 취약점으로, 이 버그를 이용하면 누구나 웹서버에 침입하여 인터넷 사용자와 해당 사이트 서버 사이에 오가는 행동을 엿보는 것은 물론이고, 개인정보(아이디/비밀번호/주민등록번호/주소 등)을 탈취할 수 있는 문제가 있으며 접근한 흔적을 남기지 않기 때문에 피해 규모를 정확하게 확인할 수 없고, 추적도 불가능한 것으로 알려져 있습니다.
하트블리드(Heartbleed)로 인한 피해사례
아직, 한국에서는 하트블리드(Heartbleed)로 인한 피해사례는 확인되지 않았지만, 지난 11일 영국의 대형 육아 사이트인 멈스넷은 개인정보, 게시글, 프로필, 쪽지를 외부 사용자가 읽은 것은 확인되었지만 정확한 피해 사실은 알 수 없다고 밝혔으며, 지난 14일 캐나다의 국세청 홈페이지는 900여 개의 사회보장번호(=주민등록번호)가 유출되었다고 발표하고 홈페이지의 운영을 일시적으로 중단한다고 밝혔습니다. 이렇듯이 하트블리드(Heartbleed)는 사용자의 개인정보를 충분히 유출할 수 있고, 미 국가안보국(NSA)은 OpenSSL의 취약점을 이용하여 불법적으로 정보를 사용했다는 주장도 있을 정도라면 하트블리드(Heartbleed) 취약점이 어느 정도의 위력을 가졌는지 감이 오실 것입니다.
내가 접속하는 웹사이트는 하트블리드(Heartbleed)로부터 안전할까?
Tset your server for Heartbleed (CVE-2014-0160)
필자가 상단의 회색 박스에 첨부한 링크의 웹사이트를 이용하면 본인 또는 타인의 웹서버가 하트블리드(Heartbleed)로부터 얼마나 안전한 상태인지 쉽게 확인할 수 있습니다. 물론, 대다수의 웹사이트는 OpenSSL의 버전을 외부 사용자가 확인하는 것을 차단하고 있기 때문에 100% 확신할 수는 없는 웹사이트라는 점을 유념하고 이용할 필요가 있습니다.
사용자가 할 수 있는 하트블리드(Heartbleed) 대처방안
참고로, 지난 14일 한국인터넷진흥원(KISA)은 서버 담당자들에게 OpenSSL을 지난 7일 배포한 1.0.1f 또는 1.0.2-beta1으로 업데이트하는 것을 권고하고 있습니다. 그렇다면, 서버 담당자가 아닌 일반 사용자가 하트블리드(Heartbleed)에 대처하는 방법은 어떤 것들이 있는지 살펴보겠습니다.
1) 주민등록번호를 요구하는 사이트의 가입은 피하세요.
지난 2013년부터 아이핀이라는 가상 주민등록번호 서비스가 의무화되면서 주민등록번호 입력을 요구하는 사이트가 많이 줄어든 것은 사실입니다. 그러나, 여전히 소수의 사이트는 회원가입 시 주민등록번호 입력을 요구하고 있는 곳이 있는데 정말 신뢰할 수 있는 사이트가 아니라면 가입을 보류하는 것이 좋습니다.
2) 비밀번호는 영어+숫자+특수문자 조합으로 사용하세요.
사용자는 혹시 모르는 상황에 대비하여 비밀번호는 가급적 영어+숫자 외에도 특수문자를 추가로 조합하여 비밀번호를 지정해두시는 것이 좋습니다. 단순히 영문과 숫자조합으로 만들어진 비밀번호는 약 하루 정도면 풀 수 있지만, 특수문자가 조합되고 길이가 긴 비밀번호는 많은 시간이 소요되었습니다. 그리고, 비밀번호는 굳이 하트블리드(Heartbleed)가 아니더라도 주기적으로 변경해주는 안전합니다.