국세청 서비스 내리게 만든 ‘하트블리드 버그’ 란? 인터넷 보안 심각

국세청 서비스 내리게 만든 ‘하트블리드 버그’ 암호 포함 서버의 모든 정보 노출
노출되었는지 조차 알 수 없다는데 문제의 심각성 있어
NSA는 2년 전에 알았지만 알려서 보완하기보다 정보 해킹에 이용해
 
어제부터 캐나다 국세청(CRA)의 웹으로 진행되는 서비스가 중단되어 있다. 그 이유는 ‘하트블리드 버그(Heartbleed bug)’라고 불리는 보안체계에 발생한 오류 때문이다. 이 오류는 Open SSL 라는 보안 체계에 있는 것으로 이를 사용하는 모든 서버에서 문제가 된다.
 
해커는 Open SSL 보안 체계를 사용하는 웹사이트에 접근해 하트블리드 버그를 이용해서 서버의 메모리에 있는 비밀번호를 가져갈 수가 있다. 그런 후에는 서버의 모든 내용을 마음대로 가져갈 수 있게 되는 것이다.
 
문제는 지난 2년간 전 세계 3분의 2 가량의 웹사이트가 이러한 보안상의 결함을 가지고 있다는 것이다. 하트블리드 버그는 아마도 현재까지 인터넷에서 발생한 재난 중 가장 큰 재난으로 기록될 가능성이 높다.
 
보안누출이 감지되지 않는 것도 문제이다. 따라서 내 비밀번호가 노출되었는지조차 알 수가 없기 때문에 금융관련 비밀번호는 일단 노출되었다고 가정하고 무조건 바꾸는 것이 좋다. 또한 하나의 비밀번호를 여러 곳에 사용하는 습관도 바꿔야 할 것으로 보인다. 나름대로의 규칙을 정해서 각 사이트마다 다른 비밀번호를 갖는 것이 보안상 유리할 것이다.
 
하트블리드 버그 문제와 관련해 오늘 토론토 스타에는 미국 NSA( National Security Agency)에서 적어도 2년 전에 웹사이트에 이러한 결함이 있다는 사실을 알았다고 폭로했다. 그들은 위험을 알리기보다 그것을 이용해서 민감한 정보를 얻어내는 데 사용하였다. 이는 정부의 최고 컴퓨터 전문가들의 역할이 과연 국가 보안을 위해 이러한 버그를 비밀로 하는 것이 정당한가에 대한 논쟁으로까지 번지고 있다.
 
전문가들은 이러한 결함을 찾는 것이 NSA의 중요한 임무 중에 하나라고 말한다. 에드워드 스노든의 유출이 있은 후에 NSA 를 감독하고 있는 대통령 직속위원회는 소프트웨어의 취약성 때문에 기관에서 자료를 파일로 저장해서 보관하는 것을 중지하도록 권고하고 있다.
 
NSA 와 다른 정보기관들은 일반 소프트웨어에서 결함을 찾아내기 위해 수백만 달러의 투자를 하며 헌신적이다. 그 이유는 보안이 적용된 컴퓨터에서 중요한 정보를 빼내기 위한 기술을 개발하기 위해서이다. Open SSL 과 같은 공개된 프로토콜은 첫번째 타켓이 된다.
 
특별한 자금 없이 수많은 에너지를 프로젝트에 헌신한 몇몇의 개발자들이 소프트웨어를 개발해 대중에게 공개한다. 수많은 인터넷 회사들이 이런 무료로 공개된 프로그램을 신뢰하고 사용한다.
 
NSA는 천명이 넘는 전문가들이 이러한 결함을 찾기 위해 정교하고도 복잡한 기술을 사용하고 있고 대부분은 기밀에 붙여지고 있다. 그들은 이러한 결함을 초기에 발견했으며 이런 문제에 친숙한 사람에 따르면 이런 결함은 기관에서 계정 암호나 다른 정보를 빼내는데 기본 도구로 사용된다고 한다.
 
이에 대해 NSA 는 답변을 거부하고 있다.