당신은 하트 블리드(Heart Bleed)를 알고 있었는가?

보안라이프/IT트렌드 2014. 8. 12. 10:22

 

 

 

 

하트 블리드, 블리드(bleed, 피를 흘리다, 출혈하다.)라는 말이 포함되어 있다보니 무엇인가 의학 용어같은 냄새가 풍긴다. 하지만 정보 유출이 다반사한 현재 우리 시대에 있어 새롭게 나타난 IT 용어이자, 출몰한 심각한 사태였다. 전 세계적으로 큰 위협이자, 이슈가 되었던 하트블리드는 이슈가 되었던것은 몇달 전이었지만 아직도 이에 취약한 서버는 30만대 이상이며, 문제에 대해 완전히 해결한 곳은 세계 대기업 3%밖에 되지 않는 현실속에 있다.

IT 용어는 무엇인가 딱딱해 보이고, 굳이 알아야되냐는 편견속에 사로잡혀 있다. 전 세계적으로 큰 이슈가 되었지만 인터넷 보급률 1위, 최강 IT라 자부하는 대한민국 안에서 이 이슈를 아는 이들은 적어도 필자의 주변에는 몇 없었다. IT 강국 국민 답게 우리가 사용하고 있는 컴퓨터라는 세상에서 벌여지는 이슈들의 이름과 내용정도는 가볍게라도 알 필요성이 있다는 생각에 이를 알리고자 한다.

그렇다면 하트블리드란 무엇인가? 정확한 내용을 전달하고자 사전을 통해 도움을 얻었다. 하트블리드란 전 세계의 웹사이트에서 대부분이 사용하는 Open SLL(Open Secure Socket Layer : 인터넷 상에서 데이터를 주고받을 때, 주고받는 데이터를 암호화 시켜주는 기술)에 취약점이 발견된 것이다. 쉽게 말해서, 우리가 데이터를 주고받는 과정에서 서버내에 저장된 중요한 내용들을 악의적으로 가져올 수 있다는 것이다. 이 의미는 하트블리드의 취약점을 통해 중요한 내용(개인정보, 금융거래 정보, 회사 업무 관련 정보 등)이 해커의 손에 들어올 수 있다는 의미이다.

이제 의미는 알았다. 그렇다면 우리가 이를 대응하고, 예방 할 수 있는 방법은 있는가? 솔직히 우리가 나설 일은 크게 없다. IT 기업들은 이에 대한 피해를 방지하기 위해 끊임없이 적극적으로 대처를 하고 있다. 취약점의 영향을 받지 않는 버전으로 패치 적용을 하고 있다. 우리는 단지 기업에서 대응한 정보를 알 필요성이 있으며, 이용중인 인터넷 사이트가 취약점에 노출 될 수 있으므로 주기적으로 비밀번호를 바꿔주는 것이 안전하다.   

수 없이 일어난 개인정보 유출 사건, 이미 유출 될것은 다 유출됬다는 안타까운 생각을 하고 있는 독자가 없기를 바란다. 이는 우리의 권리를 스스로 체념한 채 포기하는 것이다. 우리의 정보는 누가 지켜주는 것이 아니다. 고객의 서비스를 제공하는 업체에 책임도 있지만, 개인이 할 수 있는 보안 대책은 개인이 신경쓰고 예방해야 한다. 개인 정보 보호를 위해 정부 및 기업 차원에서 아낌없는 투자가 진행되야 할 것이며, 우리 또한 너나 할 것 없이 IT관련 이슈에 작게나마 관심을 가지며 귀기울여야 한다.

 

 

안랩 대학생 기자 김종헌 / 한세대학교 전자소프트웨어학과

 

댓글을 달아 주세요

두근두근 심장에서, 피가 흐르는 심장까지! HeartBleed의 취약점

보안라이프/이슈&이슈 2014. 5. 31. 11:43



OpenSSL에서 발견된 취약점인 HeartBleed. 심장에서 피가 흐른다니, 취약점 이름이 사람이나, 회사명이 아니라서 그런지 귀여운 느낌이 들기도 한다. 하지만 HeartBleed라는 표현처럼, 치명적인 버그로써 전 세계적인 문제로 커지고 있다.


▶Open SSL

먼저 SSL이란, Secure Socket Layer의 약자이다. 한국말로는 보안 소켓계층으로, 전자상거래 등의 보안을 위해 처음 개발되었다. 인터넷 쇼핑을 할 때마다 만나게 되는 Https는 대표적인 SSL이다. , SSL이란 인터넷상에서 데이터를 안전하게 전송하기 위한 하나의 약속이다. 여기에 오픈 소스라는 OPEN이 붙은 것이 Open SSL이다.


HeartBleed

이 약속을 사용하는 네트워크 통신 과정에는 HeartBeat라는 과정이 있다. 심장이 두근거려야, 숨쉬고 있다는 것을 확인하는 것과 가능 역할을 하는 Heart Beat. 이는 서버와 클라이언트 간 연결을 위해서 연결 지속 신호를 주고받는 것을 말한다. 즉! 서버에게 신호를 보냄으로써, 서버가 응답한다면 서버가 숨 쉬고 있다는 것을 확인하는 것이다. 그리고 바로 이 HeartBeat의 기능을 역이용한 것이 HeartBleed이다. 


[출처:http://xkcd.com/1354/]


그림에서 나와 있듯이, 심장 혹은 서버에게 신호를 보내는 과정에서 payload값을 과하게 보내 서버 측의 메모리 데이터를 탈취하는 것을 HeartBleed라고 한다. 실제로는 클라이언트는 서버에게 최대 64KB의 정보를 한 번에 요청 할 수 있다. 중요한 것은 한번에라는 것이다. , 무한으로 요청을 반복해서 원하는 정보를 얻어 내는 것이 가능하다


문제점 및 대응책

HeartBleed의 경우 사용자들의 로그인 정보 유출 외에도, 개인 키와 비밀 키를 탈취할 수 있다. 또한, 특정 OS환경 뿐만 아니라, OpenSSL 라이브러리를 사용하고 있는 네트워크 장비나 하드웨어 보안 장비에도 영향을 미칠 수 있다. 이를 막기 위해서는 OpenSSL를 업데이트 및 재컴파일 해주는 것이 필요하다. 특히 버전 1.0.1gOpenSSL은 몇 가지 바운드 검사를 추가하여 이 취약점을 예방한다. (필요한 양보다 더 많은 데이터를 요청하는 메시지는 무시하는 코드를 추가했다.)


[OpenSSL의 공식 홈페이지:http://www.openssl.org/]


국내 한 유명 아이돌 그룹의 인기곡이 “HeartBeat”였다. 그래서 그런지, “HeartBeat”“HeartBleed”도 낯설지 않았다. 하지만 정보를 찾아보면서, 인기 곡 때문이 아니라 이미 내 정보가 유출되어 있을 수도 있어서 그럴지 모른다는 생각이 들었다. 현재 약 50만대의 웹 서버가 노출된 상태이며, 구글과 페이스북 외국의 유명 사이트들은 패치를 완료했다고 한다. 하지만 공격 시도의 기록이 남지 않기 때문에, 지금까지 얼마나 많은 정보가 어디로 빠져나갔는지 모른다. 그중에 내 정보가 얼마나 많이 유출되어 있을지 모르고, 어디로 갔는지도 모른다는 것이다. 우리나라에서 개인정보가 유출된 것은 이미 비일비재한 일이다. 하지만 익숙해져야 하는 일은 결코 아니다. 우리가 우리의 정보를 지키는 것도 중요하지만, 보안을 위해서 더 많은 투자와 노력이 필요하다고 생각한다.





 안랩대학생기자단 홍수영 / 서울여대 정보보호학과


 omnia tempus habent




댓글을 달아 주세요