미국 국가안보국(National Security Agency: NSA) 또 다시 부적절한 스파이 활동을 했다는 도마위에 올랐다. 최근 발견된 '하트블리드'(HEARTBLEED) 보안 취약점을 2년전에 알고 있었고, 이를 공개하기는 커녕 정보 수집에 활용했다는 보도가 나와 파문이 일고 있다.
블룸버그통신이 익명의 소식통 2명을 인용해 이같이 보도했고, 씨넷 등 다수 외신들도 관련 내용을 전하고 있다.<관련기사: IT업계, 오픈SSL 취약점 '하트블리드' 비상 경계령>
보도에 따르면 NSA는 적어도 2년전부터 하트블리드의 존재를 알고 있었지만 영향을 받은 회사들에게 알려주지 않고 비밀로 유지한 것으로 전해졌다. 오히려 하트블리드 취약점을 활용해 비밀번호와 기본적인 데이터들을 수집한 것으로 전해졌다. 씨넷은 NSA의 스파이 활동으로 인해 인터넷의 안정성을 훼손되고 있다고 전했다.
한편 NSA는 블룸버그 보도와 관련해 자신들도 하트블리드 취약점을 일반인들과 똑같은 시점에 알았다면서 은폐 주장을 부인했다.
오픈소스로 제공되는 오픈SSL 암호화 프로토콜에서 최근 발견된 취약점인 하트블리드는 구글, 아마존 등 주요 클라우드 서비스 제공 업체들은 물론 시스코시스템즈, 주니퍼네트웍스의 일부 네트워크 장비에도 영향을 주는 대형 변수로 부상했다.
관련기사
- IT업계, 오픈SSL 취약점 '하트블리드' 비상 경계령2014.04.12
- 리눅스 서버, 오픈SSL 취약점 비상2014.04.12
- 오픈SSL 보안 결함 개선, 암호화 문제 해결?2014.04.12
- 월드 랠리서 만난 현대차 vs 토요타…"여기선 빠른 제조사가 1위"2024.11.22
하트블리드는 클라이언트(PC)와 웹서버 간 전송 구간 내에 64킬로바이트(KB)에 해당하는 메모리값을 계속 읽어낼 수 있게 한다. 해당 메모리 영역에 웹서버에 접속할 수 있는 비밀키값이 포함됐을 경우 이를 알고 있는 공격자는 서버에 저장된 정보들을 모두 유출시키거나 변경할 수 있다.
관련 회사들은 긴급 패치를 적용하는 등 문제해결에 나서고 있으나, 오픈SSL 자체가 워낙 광범위하게 사용되고 있어, 위험이 해소된 것은 아니라는게 전문가들의 지적이다.