[디지털데일리 이민형기자] 아마존, 야후 등 국내외 인터넷서비스를 이용하는 사용자들은 한시라도 빨리 비밀번호를 변경해야 될 것으로 보인다. 지난 7일 밝혀진 하트블리드(Heartbleed, CVE-2014-0160) 취약점으로 인해 서비스 로그인 등에 사용되는 개인정보의 유출이 의심되고 있기 때문이다.
10일 보안업계와 주요외신에 따르면 야후, 텀블러, 운더리스트 등 글로벌 인터넷서비스 업체들이 하트블리드 취약점으로 인한 피해 예방을 위해 사용자들에게 비밀번호 변경 등을 요청했다.
하트블리드는 오픈SSL의 확장 규격인 하트비트(Heartbeat)가 클라이언트(웹브라우저)와 웹서버간의 데이터를 전송을 인증하지 않는 점 때문에 발생한 취약점이다. 이 데이터는 복호화된 상태로 메모리에 작성(덤프)되며, 이에 대한 접근도 클라이언트에서 가능해진다.
이를 악용하면 클라이언트에서 웹서버에 접근해 복호화된 데이터를 가로챌 수 있고, 더 나아가 X.509 비밀키까지 취득할 수 있게 된다. 비밀키를 취득하면 이후에 전송, 생성되는 모든 데이터에 대한 복호화도 가능해진다.
이 취약점은 오픈SSL 라이브러리 1.0.1버전에서부터 1.0.1f 버전까지에 영향을 끼친다. 문제는 1.0.1 버전이 2012년에 발표된 버전이란 점이다. 지난 2년동안 취약점이 존재했기 때문에 문제는 더 심각해질 수 있다.
현재 국내외 인터넷서비스 업체들은 긴급 패치를 통해 해당 취약점을 해소하고 있으나 이전에 유출됐을 가능성이 남아있기 때문에 반드시 비밀번호 변경이 필요하다.
비밀번호 변경을 하기전에 웹브라우저 주소창에 SSL VPN이 정상적으로 작동하는지(녹색창 혹은 HTTPS 적용여부)를 확인해야 한다. 이 과정을 확인하지 않는다면 비밀번호를 변경하더라도 비밀키(프라이빗 키) 유출로 인한 제2, 3의 피해가 발생할 수 있기 때문이다.
일회용비밀번호(OTP)를 사용하는 것도 2차 피해를 예방할 수 있는 방법 중 하나다. 구글, 드롭박스, 에버노트 등 주요 인터넷서비스 업체들은 모바일 애플리케이션 기반 OTP를 제공하고 있다.
이와 관련 보안업계 관계자들은 “비밀키가 유출됐다면 그 즉시 해당 키를 파기하고 새로 발급해서 사용해야 한다. 그렇지 않을 경우 취약점 패치가 의미가 없다”고 입을 모았다.
<이민형 기자>kiku@ddaily.co.kr
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
아이폰16 공시지원금, 전작과 비교해보니…"기본 모델은 낮아져"
2024-09-20 19:39:53오징어게임2, 새 게임은 '이것'?…티저 영상에 '힌트' 있다
2024-09-20 19:37:56[취재수첩] 지상파 콘텐츠 가치, 제대로 산정해야 할때
2024-09-20 16:08:31“現 미디어 산업 특성 반영한 새로운 방발기금 제도 논의 필요”
2024-09-20 14:15:21SKT 에이닷·LGU+ 익시오, KT는 "검토 중" [IT클로즈업]
2024-09-20 13:43:01MBC스포츠+·CGV, 프로야구 실시간 이원생중계 나서
2024-09-20 10:04:32잠재적 리스크도 기꺼이? 크래프톤, 배그 차기작 찾아 ‘직진’
2024-09-20 13:47:19SOOP이 청년 꿈 응원하는 방법은?…“다양한 콘텐츠와 지원 제도 활용”
2024-09-20 09:26:10