미국 병원 네트워크인 '커뮤니티 헬스 시스템(CHS)'에서 450만명의 환자 개인정보가 유출된 사건에 '하트블리드' 취약점이 악용된 것으로 추정되고 있다. 올해 상반기에 하트블리드 취약점을 해결하기 위해 수많은 기업, 기관들이 노력을 기울였지만 여전히 취약한 곳들이 완전히 사라지지는 않았다.
20일(현지시간) 미국 지디넷 등 외신에 따르면 CHS가 해킹되는 과정에서 초기 단계에 하트블리드 취약점이 악용됐다고 보도했다. 이 취약점은 암호화 통신을 위한 프로토콜인 오픈SSL에서 발견된 것으로 서버 내 메모리에 저장된 정보를 임의로 빼내 그 중 해커가 유용한 정보를 얻을 수 있게 한다. 여기에는 서버에 접속할 수 있는 로그인 ID, 비밀번호 등이 포함될 수 있다.
보안회사 트러스티드섹은 CHS에 대한 해킹을 분석한 결과 사고는 4월~6월 사이에 발생했으며, 중국 해커들이 침투초기단계에 하트블리드 취약점을 악용한 것으로 보인다고 말했다.
다시 말하면 서버에 관리자용으로 접근할 수 있는 ID, 비밀번호 등을 하트블리드 취약점을 악용해 알아낸 뒤 해당 네트워크에 가상사설망(VPN)으로 접속해 정보를 유출시켰다는 것이다.
이 말이 사실이라면 CHS는 그동안 여러차례 문제가 불거져왔던 하트블리드에 대한 대비책을 마련하지 않고 있었다는 뜻이다.
관련기사
- 美서 450만명 환자 개인정보 유출2014.08.21
- 세계 대기업 3%만 하트블리드 완전해결2014.08.21
- 오픈SSL의 대안 '리브레SSL', OS 지원 확대2014.08.21
- 끝나지 않은 하트블리드…중소사이트 위험2014.08.21
사고가 발생한 웹사이트는 주니퍼네트웍스가 제공하는 보안장비를 사용하고 있다. 주니퍼측은 하트블리드 취약점에 대응하기 위한 보안패치를 공개했으나 결국 CHS는 패치를 적용하지 않아 문제를 키웠다.
트러스티트섹측은 보안 위협에 대한 우려가 공개되면 즉시 해당 문제를 해결하려는 자세를 가져야 한다며 복구를 가능한 빠르게 한다던가 사고가 났을 때 사고일수에 따른 보상을 지급하는 체계 등이 마련돼야 할 것이라고 설명했다.