지난 2014년 04월 07일, 핀란드의 보안회사 코데노미콘에 의하여 발견된 하트블리드(Heartbleed)는 인터넷 보안 인증 체계인 OpenSSL 특정 버전에서 발견된 보안 취약점으로, 이 버그를 이용하면 누구나 웹서버에 침입하여 인터넷 사용자와 해당 사이트 서버 사이에 오가는 행동을 엿보는 것은 물론이고, 이름/주민등록번호/휴대폰 번호등과 같은 개인정보를 탈취해가는 버그입니다. 이 포스트에서는 최근 많은 이슈가 되고 있는 하트블리드(Heartbleed)에 대해서 알아보고, 사용자가 대처하는 방법을 소개해드리고자 합니다.
하트블리드(Heartbleed)란 무엇인가요?
![](https://jnstory.net/wp-content/uploads/2014/04/work-001-19.webp)
지난 2014년 04월 07일, 핀란드의 보안회사 코데노미콘에 의하여 발견된 하트블리드(Heartbleed)는 사용자가 인터넷 웹서비스를 사용하기 위하여 로그인 또는 회원가입을 할 때 입력하는 개인정보(아이디/비밀번호/주민등록번호/주소 등)를 암호화하여 서버에 전송할 수 있도록 해주는 OpenSSL의 특정 버전에서 발견된 보안 취약점으로, 이 버그를 이용하면 누구나 웹서버에 침입하여 인터넷 사용자와 해당 사이트 서버 사이에 오가는 행동을 엿보는 것은 물론이고, 개인정보(아이디/비밀번호/주민등록번호/주소 등)을 탈취할 수 있는 문제가 있으며 접근한 흔적을 남기지 않기 때문에 피해 규모를 정확하게 확인할 수 없고, 추적도 불가능한 것으로 알려져 있습니다.
하트블리드(Heartbleed)로 인한 피해사례
![](https://jnstory.net/wp-content/uploads/2014/04/work-002-18.webp)
아직, 한국에서는 하트블리드(Heartbleed)로 인한 피해사례는 확인되지 않았지만, 지난 11일 영국의 대형 육아 사이트인 멈스넷은 개인정보, 게시글, 프로필, 쪽지를 외부 사용자가 읽은 것은 확인되었지만 정확한 피해 사실은 알 수 없다고 밝혔으며, 지난 14일 캐나다의 국세청 홈페이지는 900여 개의 사회보장번호(=주민등록번호)가 유출되었다고 발표하고 홈페이지의 운영을 일시적으로 중단한다고 밝혔습니다. 이렇듯이 하트블리드(Heartbleed)는 사용자의 개인정보를 충분히 유출할 수 있고, 미 국가안보국(NSA)은 OpenSSL의 취약점을 이용하여 불법적으로 정보를 사용했다는 주장도 있을 정도라면 하트블리드(Heartbleed) 취약점이 어느 정도의 위력을 가졌는지 감이 오실 것입니다.
내가 접속하는 웹사이트는 하트블리드(Heartbleed)로부터 안전할까?
![](https://jnstory.net/wp-content/uploads/2014/04/work-001_1.webp)
Tset your server for Heartbleed (CVE-2014-0160)
필자가 상단의 회색 박스에 첨부한 링크의 웹사이트를 이용하면 본인 또는 타인의 웹서버가 하트블리드(Heartbleed)로부터 얼마나 안전한 상태인지 쉽게 확인할 수 있습니다. 물론, 대다수의 웹사이트는 OpenSSL의 버전을 외부 사용자가 확인하는 것을 차단하고 있기 때문에 100% 확신할 수는 없는 웹사이트라는 점을 유념하고 이용할 필요가 있습니다.
사용자가 할 수 있는 하트블리드(Heartbleed) 대처방안
참고로, 지난 14일 한국인터넷진흥원(KISA)은 서버 담당자들에게 OpenSSL을 지난 7일 배포한 1.0.1f 또는 1.0.2-beta1으로 업데이트하는 것을 권고하고 있습니다. 그렇다면, 서버 담당자가 아닌 일반 사용자가 하트블리드(Heartbleed)에 대처하는 방법은 어떤 것들이 있는지 살펴보겠습니다.
1) 주민등록번호를 요구하는 사이트의 가입은 피하세요.
![](https://jnstory.net/wp-content/uploads/2014/04/work-003-15.webp)
지난 2013년부터 아이핀이라는 가상 주민등록번호 서비스가 의무화되면서 주민등록번호 입력을 요구하는 사이트가 많이 줄어든 것은 사실입니다. 그러나, 여전히 소수의 사이트는 회원가입 시 주민등록번호 입력을 요구하고 있는 곳이 있는데 정말 신뢰할 수 있는 사이트가 아니라면 가입을 보류하는 것이 좋습니다.
2) 비밀번호는 영어+숫자+특수문자 조합으로 사용하세요.
![](https://jnstory.net/wp-content/uploads/2014/04/work-004-13.webp)
사용자는 혹시 모르는 상황에 대비하여 비밀번호는 가급적 영어+숫자 외에도 특수문자를 추가로 조합하여 비밀번호를 지정해두시는 것이 좋습니다. 단순히 영문과 숫자조합으로 만들어진 비밀번호는 약 하루 정도면 풀 수 있지만, 특수문자가 조합되고 길이가 긴 비밀번호는 많은 시간이 소요되었습니다. 그리고, 비밀번호는 굳이 하트블리드(Heartbleed)가 아니더라도 주기적으로 변경해주는 안전합니다.