'허트블리드', 사상 최악 보안버그 발견…모든 개인정보·암호 뚫려

암호화를 무력화시켜 인터넷에서 입력하는 모든 정보를 빼낼 수 있는 치명적인 보안 결함이 발견됐다.

미국 현지시간 7일 공식 발표된 '허트블리드'(Heartbleed. 취약점 번호 CVE-2014-0160) 버그는 피해 규모를 추정하기조차 어려울 만큼 치명적인 보안 허점을 드러냈다.

'허트블리드'는 사용자가 웹브라우저에서 입력한 개인·금융정보는 서버로 전송될때 암호화의 과정을 거치는데, 이를 무력화시키는 버그다.

예를 들어, 인터넷 쇼핑을 할 때 사용자가 웹브라우저로 해당 사이트에 접속해 계좌번호와 비밀번호, 신용카드 번호와 유효기간 등을 입력하게 된다.

이 정보는 웹브라우저에서 쇼핑몰의 서버로 전송되는데, 이 데이터가 이동 과정에서 해커 등에게 탈취당하지 않도록 암호화를 거친다.

그러나 지금까지 '암호화'를 믿고 인터넷에서 주고받은 정보들이 탈취됐을 가능성이 높다는 것이 '허트블리드' 버그를 통해 확인된 것이다.

이 보안 취약점은 암호화 툴 중에서 널리 사용되고 있는 '오픈SSL'(OpenSSL)에서 발견됐다. 이 버그를 이용하면 1.0.1 버전부터 1.0.1f 버전의 오픈SSL에서 암호를 해독할 수 있는 키(key)를 추출할 수 있다.

암호를 풀 수 있는 열쇠를 빼내도 로그 기록조차 남지 않는 것이 이 버그의 특징이다. 즉, 누가 빼갔는지 피해 규모가 얼마나 되는지도 추정이 불가능하다는 것이다.

'오픈SSL'은 1998년에 최초로 출시됐으며 최신 버전은 2012년에 발표됐다. 약 15년간 널리 사용돼왔던 오픈SSL에 뚫린 구멍을 이용해 누가 얼마나 많은 정보를 빼내갔는지 알 수 없는 일이다.

이 버그를 이용해 빼 갈 수 있는 정보들에는 인터넷 사이트 계정(ID)과 비밀번호, 은행 계좌번호와 신용카드 번호와 유효기간, 비밀번호 등 모든 민감한 정보들이 포함된다.

만약 누군가 이 보안 취약점을 알고 이용해왔다면 금융권과 카카오톡, 네이트온 등 인터넷 메신저 업체들이 타깃이 됐을 가능성이 높다.

한편 '허트블리드' 버그에 관한 자세한 정보는 허트블리드닷컴(heartbleed.com) 사이트에서 확인할 수 있으며, 현재 이 취약점을 패치한 '오픈SSL 1.0.1g' 버전이 배포되고 있다.