전세계 대기업 가운데 3%만 오픈SSL 취약점인 하트블리드 문제를 완전히 해결했다는 조사결과가 나왔다.
29일(현지시간) 더레지스터는 포춘선정 글로벌 2000 기업 중 3% 가량만 하트블리드 취약점에 완전한 조치를 취했다고 베나피랩스의 조사결과를 인용보도했다.
여기서 완전한 해결이란 가트너나 보안업계 전문가들이 권고하는 취약점 대응방안을 모두 따랐다는 의미다.
베나피랩스에 따르면 포춘 글로벌 2천대기업 중 1천639개 회사가 일반인을 대상으로 한 웹서버를 약 55만대 운영중인 것으로 파악됐다. 이중 99%가 하트블리드 취약점을 해결하는 패치를 설치했다.
그러나 패치된 1만5천대 서버만 프라이빗키를 변경했고, 새 SSL 인증을 받은 뒤 기존 인증서를 취소했다.
나머지 기업의 웹서버는 패치 작업만 해놓은 상태. 이미 서버 프라이빗키를 해커가 유출해 갖고 있다면, 패치 조치는 아무 효과가 없다.
하트블리드는 사용자가 웹브라우저를 통해 웹사이트에서 웹서버와 정보를 송수신할 때 서버 내에 저장된 주요 내용을 탈취할 수 있는 취약점이다.
하트블리드는 클라이언트(PC)와 웹서버 간 전송 구간 내에 64킬로바이트(KB)에 해당하는 메모리값을 계속 읽어낼 수 있게 한다. 해당 메모리 영역에 웹서버에 접속할 수 있는 비밀키값이 포함됐을 경우 이를 알고 있는 공격자는 서버에 저장된 정보들을 모두 유출시키거나 변경할 수 있다.
관련기사
- 제2 하트블리드 없다, 오픈SSL 새 로드맵 공개2014.07.30
- 끝나지 않은 하트블리드…중소사이트 위험2014.07.30
- 끝나지 않은 하트블리드 공포…유사 취약점 발견2014.07.30
- 제2의 '하트블리드' 막기위해 IT거인들 뭉쳤다2014.07.30
심각한 점은 많이 활용되고 있는 리눅스 계열 서버 대부분이 오픈SSL을 통해 인증을 구현하고 있고, 클라우드 서비스를 활용해 가상머신(VM) 형태로 서버를 구동하는 곳들도 암호화 통신에 오픈SSL을 적용했다면 모두 위험에 노출될 수 있다는 것이다. 수많은 네트워크 장비 역시 리눅스를 기반 OS로 삼고 있어 오픈SSL을 활용해왔다.
아직 하트블리드를 통해 웹서버의 모든 통제권을 획득할 수 있는 프라이빗키를 유출했다는 보고는 없는 상태. 그러나 베나피랩스는 오픈SSL이 지난 2년동안 악용돼왔다는 점을 강조했다. 유출됐다는 사실을 확인하는 것도 어려운 상황에서 패치 조치만으로 취약점에서 완전히 벗어났다고 판단할 수 없다는 것이다.
