• 4 Stories

'하트 블리드' 버그

최근 우리나라에선 상당한 수의 개인 정보 유출 사고가 발생했습니다. 어느덧 내 개인정보가 모두가 공유하는 공공재가 되어버렸단 사실에 마음이 먹먹합니다. 하지만 이번에는 그 규모가 조금 다릅니다, 전 세계적이죠. 웹 암호화 기술인 오픈SSL에서 정보 보안과 관련한 치명적 버그가 발생했습니다.

하트블리드에 이은 새로운 오픈소스 SW 취약점 발견

하트블리드에 이어 오픈소스 SW 새로운 취약점이 발견됐습니다. 싱가폴 난양 기술 대학 왕 징 연구원이 발견한 이 취약점은 ‘코버트 리디렉션(Covert redirect)’라고 명명됐으며, 이는 ‘은밀한 경로변경’ 정도로 해석할 수 있습니다.

‘코버트 리디렉션'은 여러 개의 ID나 비밀번호 없이 통합 ID로 다양한 웹사이트에 로그인할 수 있게 해주는 인증관련 표준기술 ‘오쓰2.0(OAuth 2.0)’과 ‘오픈ID’에서 발견됐는데요. 현재 이 오픈소스 SW를 페이스북, 구글, 마이크로소프트, 링크드인 등 많은 사용자를 보유한 IT 기업에서 활용하고 있어 자칫하면 사용자 피해가 커질 수 있습니다.

취약점이 악용되는 방법은 이렇습니다. 일단 가입자가 피싱 사이트를 클릭하면 페이스북 등을 비롯한 유명 기업의 사용자 인증 팝업창이 뜨면서 사용자의 가입 정보를 요구합니다. 흔히 페이스북을 통해서 서드파티(3rd Party) 앱에 가입할 때 이런 화면을 많이 보셨을 겁니다. 우리가 익숙한 진짜 사이트의 화면을 보여주는 것이기에 알아채기가 쉽지 않습니다. 이렇게 사용자가 피싱 사이트에 속아 자신의 인증 정보를 입력하면 이 정보가 피싱 사이트로 흘러 넘어가는 것입니다. 인증관련 오픈소스 SW가 앱의 번거로운 인증을 없애기 위해 태어난 만큼, 통합 ID에 관련한 정보들이 한 곳에서만 유출되는 것이 아니라 여러 곳에서 줄줄이 유출될 수 있다는 위험이 있습니다.

현재 왕 연구원은 이 위험성을 페이스북에 알렸습니다. 이에 대해 페이스북 측은 짧은 시간 내에 결함을 해결하기는 어렵다고 답했습니다. 현재 구글, 마이크로소프트, 링크드인 또한 취약점의 위험성을 인지하고 문제 해결에 나섰습니다. 다행인 점은 하트블리드와 다르게 이 취약점은 그나마 해결하기 쉽다는 것입니다. 일단 해당 기업 측에서 허가된 웹애플리케이션이나 웹사이트만 접속 허용하는 방법을 사용하면, 사용자들이 해당 피싱 사이트에 노출될 위험이 많이 줄어듭니다.

암호화 기술 '오픈SSL'에서 심각한 보안 문제 발견

전 세계 절반 정도의 웹사이트는 네트워크를 통해 데이터를 주고받을 때 오픈 시큐어소켓레이어(이하 오픈SSL)라는 암호화 기술을 사용합니다. 사용자의 중요 정보를 전달하는 과정이니만큼 보안성 확보는 매우 중요한 일이죠.

지난 7일 핀란드의 인터넷 보안업체 코드노미콘은 오픈SSL에 ‘하트 블리드(Heartbleed)'라는 심각한 보안 버그가 존재한다고 밝혔습니다. 오픈SSL에는 그 기능을 확장해주거나 증폭시켜주는 여러 추가 기능이 있습니다. 이 중 오픈SSL이 서버와 잘 연결되어 데이터를 주고받고 있는지 확인해주는 '하트 비트 확장 기능(RFC6520)'에서 '하트 블리드’ 버그가 발생한 것입니다.

이 버그의 취약점을 이용하면 해커들은 오픈SSL을 적용한 서버 메모리에서 64kb의 데이터 뭉치를 무한대로 빼돌릴 수 있습니다. 이 과정을 반복하면 해커들은 사용자가 서버에 보낸 암호키를 쉽게 얻을 수 있습니다. 이를 통해사용자들의 개인정보, 금융정보 등을 로그 기록조차 남기지 않고 빼낼 수 있게 되는 것입니다.

하트 블리드로 인한 문제는 2012년에 나온 오픈SSL 1.0.1부터 최근까지 사용된 오픈SSL 1.0.1f 버전까지 모두 해당합니다. 2년 이상 보안 문제가 방치됐다는 점과 정보 유출의 흔적조차 남지 않는 점으로 미루어 봤을 때 이미 상당한 정보 유출이 진행됐을 수도 있습니다. 코드노미콘은 새로 나온 오픈SSL 1.0.1g 버전으로 판올림, 배포된 보안 패치 버전을 적용, 일부 코드 수정 등의 방법을 사용하면 하트 블리드로부터 안전할 수 있다고 밝혔습니다.

블룸버그 통신, 美 NSA가 하트 블리드 버그 알고도 오히려 악용했다는 의혹 제기

블룸버그 통신은 익명을 소식통을 인용하여 미국 국가안보국(이하 NSA)이 지난 2012년 초 하드 블리드 버그를 초창기에 발견했음에도 불구하고 외부에 이를 알리지 않고 자신들의 정보 수집 활동에 하트 블리드를 활용했다고 보도했습니다. 보도 내용에는 NSA가 수백만 달러의 예산과 1,000명이 넘는 인력을 활용하여 오픈SSL 등 상용 보안 소프트웨어의 허점 등을 연구했다는 내용도 포함되어 있는데요. 이 보도가 만약 사실이라면 NSA는 여태껏 인터넷 보안의 허점 활용을 위해 많은 공을 기울인 것 같습니다.

하지만 이 보도 직후에 미국 정부는 블룸버그 통신의 의혹 제기가 사실이 아니라며 대변인 성명을 발표했습니다.

"NSA는 민간 사이버 보안회사가 보고서를 통해 밝히기 전까지는 하트 블리드를 인지하지 못했다."

바니 바인스, NSA 대변인

"NSA나 미국의 다른 정부기관이 올해 4월 하트 블리드 버그를 알고 있었다는 언론 보도는 잘못됐다."

케이틀린 헤이든, 백악관 국가안보회의(NSC) 대변인

글로벌 IT 기업, 하트 블리드 버그 해결 위해 공동 대응키로 결정

웹 트래픽 데이터를 조사하는 아마존의 자회사 '알렉사 인터넷(Alexa Internet)’은 전 세계 톱 1,000대 웹사이트 모두 하트 블리드 위협을 피할 수 있는 최신 오픈SSL로 패치했으며, 톱 100만 사이트는 2% 정도가 아직 패치하지 않았다고 밝혔습니다. 또한, 보안취약점 분석회사인 ‘시큐니아’가 하트 블리드의 취약점을 제거하는 업데이트가 완료되기까지 수개월이 걸리리라 전망하면서 민간 피해는 더욱 커질 것으로 보이는데요. 이 피해를 최소화하기 위해 대형 정보통신(이하 IT) 회사들이 힘을 모으기로 했습니다.

지난 24일(현지시간), 미국의 비영리단체 ‘리눅스 재단’은 하트 블리드로 인해 위협에 빠진 오픈소스 기반 소프트웨어를 보완하고 결과물을 대중에 널리 퍼트려 주는 일을 아마존, 구글 마이크로소프트, 페이스북, 인텔, IB, 델 등이 대형 IT 기업이 함께 할 것이라고 밝혔습니다. 하트 블리드 버그는 전 세계적 문제이며 피해 영역을 가늠하기 어려워 이를 해결하기 위해서는 적어도 수백만 달러의 돈이 필요한데요. 기업들이 향후 3년간 최소 30만 달러씩을 재단에 내놓는다고 합니다. 재단은 자금의 활용 방안이 아직 구체화되지 않았으며, 참여 기업들이 모두 모여 결정하게 될 것이라고 밝혔습니다.

하트블리드에 이은 새로운 오픈소스 SW 취약점 발견

하트블리드에 이어 오픈소스 SW 새로운 취약점이 발견됐습니다. 싱가폴 난양 기술 대학 왕 징 연구원이 발견한 이 취약점은 ‘코버트 리디렉션(Covert redirect)’라고 명명됐으며, 이는 ‘은밀한 경로변경’ 정도로 해석할 수 있습니다.

‘코버트 리디렉션'은 여러 개의 ID나 비밀번호 없이 통합 ID로 다양한 웹사이트에 로그인할 수 있게 해주는 인증관련 표준기술 ‘오쓰2.0(OAuth 2.0)’과 ‘오픈ID’에서 발견됐는데요. 현재 이 오픈소스 SW를 페이스북, 구글, 마이크로소프트, 링크드인 등 많은 사용자를 보유한 IT 기업에서 활용하고 있어 자칫하면 사용자 피해가 커질 수 있습니다.

취약점이 악용되는 방법은 이렇습니다. 일단 가입자가 피싱 사이트를 클릭하면 페이스북 등을 비롯한 유명 기업의 사용자 인증 팝업창이 뜨면서 사용자의 가입 정보를 요구합니다. 흔히 페이스북을 통해서 서드파티(3rd Party) 앱에 가입할 때 이런 화면을 많이 보셨을 겁니다. 우리가 익숙한 진짜 사이트의 화면을 보여주는 것이기에 알아채기가 쉽지 않습니다. 이렇게 사용자가 피싱 사이트에 속아 자신의 인증 정보를 입력하면 이 정보가 피싱 사이트로 흘러 넘어가는 것입니다. 인증관련 오픈소스 SW가 앱의 번거로운 인증을 없애기 위해 태어난 만큼, 통합 ID에 관련한 정보들이 한 곳에서만 유출되는 것이 아니라 여러 곳에서 줄줄이 유출될 수 있다는 위험이 있습니다.

현재 왕 연구원은 이 위험성을 페이스북에 알렸습니다. 이에 대해 페이스북 측은 짧은 시간 내에 결함을 해결하기는 어렵다고 답했습니다. 현재 구글, 마이크로소프트, 링크드인 또한 취약점의 위험성을 인지하고 문제 해결에 나섰습니다. 다행인 점은 하트블리드와 다르게 이 취약점은 그나마 해결하기 쉽다는 것입니다. 일단 해당 기업 측에서 허가된 웹애플리케이션이나 웹사이트만 접속 허용하는 방법을 사용하면, 사용자들이 해당 피싱 사이트에 노출될 위험이 많이 줄어듭니다.