하트블리드 취약점 문제를 제대로 해결하기까지는 길게는 수개월이 걸릴 것으로 전망된다. 아직 하트블리드 취약점이 자사 제품/서비스에도 적용되는지 공개하지 않거나 꺼려하는 IT 기업들까지 고려하면 단순하게 패치만 한다고 해도 생각보다 많은 시간이 들어갈 것으로 보인다.
22일(현지시간) 영국 더레지스터에 따르면 보안취약점 분석회사인 시큐니아는 하트블리드 취약점을 제거하는 업데이트를 완료하기 까지 앞으로 수개월은 걸릴 것이라고 전망했다.
하트블리드는 오픈소스 형태로 공개된 오픈SSL를 활용해 암호화 통신 기능을 적용하고 있는 구글, 트위터, 페이스북 등 인터넷 기업은 물론 네트워크 장비업체, 보안업체, 일반 웹사이트 등에도 광범위하게 영향을 미치고 있다. 문제는 일부 기업들을 제외하고 많은 기업들이 자사 제품이 영향을 받았는지, 어떻게 해결하고 있는지 등에 대한 정보를 공개하지 않거나 꺼리고 있다는 점이다.
하트블리드 취약점은 클라이언트-웹서버 간 통신에서 뿐만 아니라 라우터, 기타 네트워크 장비는 물론 기타 엔터프라이즈 기술에 널리 도입된 오픈SSL 1.0.1 버전에 사용되는 '하트비트' 프로토콜에서 발견됐다.
오픈SSL 라이브러리는 스마트폰으로 사내 이메일 서버 등에 접속하기 위해 가상사설망(VPN)을 구축하거나 메신저앱, 스카이프와 같은 인터넷전화(VoIP)를 쓰는데도 활용된다. 이 취약점은 안드로이드 4.1 젤리빈 운영체제(OS)를 적용한 스마트폰에서도 문제가 될 수 있는 것으로 확인됐다.
외신에 따르면 카스퍼 린드가드 시큐니아 책임연구원은 네트워크 스위치나 웹서버 뿐만 아니라 다른 영역도 영향을 받을 수 있다고 말했다.
그는 하트블리드 취약점이 공개된 뒤 관련 내용이 공개되는 프로세스는 모든 공격자들이 이 방법을 악용할 수 있다고 경고했다.
기업 규모가 작을수록 해당 취약점을 통한 영향은 적다. 문제는 이 취약점에 노출된 글로벌 IT기업들일수록 빠르게 조치를 취해야 피해를 최소화할 수 있으나 공개된 것보다 많은 곳에 영향을 미칠 수 있기 때문이다.
린드가드 연구원은 글로벌 IT기업들 중 시스코, 오라클 등이 다른 기업들에 비해 비교적 빠르게 대응조치를 취했다고 설명했다.
시스코는 지난 9일 하트블리드 취약점이 공개됐던 초기에 문제를 초래할 수 있는 자사 장비 리스트를 공개하고, 지속적으로 업데이트를 실시했다.
이 회사는 현재 44개 제품이 이 취약점에 영향을 받을 수 있다는 사실을 확인했으며 현재 68개 다른 제품들에 대한 확인 작업을 진행 중이다.
시큐니아는 이밖에도 하트블리드 취약점에 영향을 받는 46개 회사 관련 내용을 공개하기도 했다. 전체 제품 종류는 218개에 달한다. 시스코와 반대로 일부 기업들은 자사 제품들이 이 취약점에 노출됐는지 여부를 투명하게 공개하지 않고 있다.
대부분 기업들은 영향을 받았거나 그렇지 않은 제품들에 대한 검토보고서를 작성하는데 시간을 들이고 있다. 그러나 다른 기업들은 이러한 정보를 알리지 않거나 자사 다운로드 페이지 내에 눈에 잘 띄지 않는 곳에 공지를 띄우거나 해당 사이트 회원들이 비밀번호를 입력해 로그인을 해야한 하는 웹페이지에 노출시키고 있다.
관련기사
- 하트블리드 후폭풍, 대안으로 '리브레SSL' 주목2014.04.23
- 하트블리드 취약점통해 대기업 해킹 확인2014.04.23
- 하트블리드 때문에 인터넷 속도 느려져2014.04.23
- 그런데요, 하트블리드가 대체 뭔가요?2014.04.23
린드가드 연구원은 하트블리드 취약점이 얼마나 많은 영역에 영향을 끼쳤는지에 대해 아직 덜 공개됐다는 점이 우려스럽다며 관련 정보를 공개하지 않고 고객들에게 숨기려는 기업들은 결국 공격자들에게 하트블리드 취약점을 테스트할 기회를 주는 것일 뿐이라고 밝혔다.
그는 주요 기업들이 패치를 실행한다고 해도 전체 프로세스에는 수주에서 수개월까지 걸릴 것이라고 말했다. 취약점은 장기간 영향을 끼칠 것이라는 분석이다.