2021-09-27 13:45 (월)
한국 통신사 3곳, 하트블리드 취약점 방치 기업 1위-4위-6위 불명예
상태바
한국 통신사 3곳, 하트블리드 취약점 방치 기업 1위-4위-6위 불명예
  • 길민권 기자
  • 승인 2017.01.25 15:10
이 기사를 공유합니다

쇼단, 하트블리드 리포트 발표…한국 패치 미흡한 국가 중 2위 차지

▲ 한국, 하트블리드 취약점을 제대로 패치하지 않은 국가 중 2위 차지
▲ 한국, 하트블리드 취약점을 제대로 패치하지 않은 국가 중 2위 차지
최근 쇼단(shodan)에서 발표한 ‘하트블리드(Heartbleed) 리포트’에 따르면 1월 22일 기준한국은 하트블리드 취약점을 제대로 패치하지 않은 국가 중 2위를 차지하고 있는 것으로 나타났다. 심각한 상황이다.

지난 2014년 4월 구글 엔지니어에 의해 밝혀진 OpenSSL 하트블리드(Heartbleed) 취약점은 이후 취약점을 이용한 공격들이 급증하면서 전세계적인 보안이슈가 된 바 있다. 당시 글로벌 보안기업 뿐만 아니라 국내 보안기업들도 앞다퉈 하트블리드 버그 대응방안을 내놓은바 있지만 한국은 적극적인 대응을 하지 못한 결과라 볼 수 있다.

하트블리드(Heartbleed)는 ‘오픈SSL’은 인터넷을 기반으로 사용자와 서버 사이에 오고 가는 데이터를 암호화하는 기술로, 주민등록번호나 공인인증서 암호 등을 암호화해 해킹 피해를 방지한다. 그러나 ‘하트블리드’의 취약점을 이용하면 인터넷 쇼핑이나 이메일 등을 사용할 때 사용자가 웹브라우저로 해당 사이트에 접속해 사용자 이름과 비밀번호, 은행계좌번호, 신용카드 번호, 유효기간 등을 입력하고 이 정보가 서버로 전송될 때 거치는 암호화의 과정을 무력화시켜 민감한 개인정보가 유출될 가능성이 높을 뿐만 아니라, 언제 어디에서 누가 해킹을 했는지도 확인이 불가능하다.

글로벌 보안기업들은 모든 서버를 최근 배포된 오픈 SSL 최신 패치 버전으로 업데이트하고 또 보안 패치 적용 이후 SSL 프라이빗 키를 즉시 교체하고 기업 내에서 사용 중인 내부 애플리케이션을 모두 점검하고 최신 버전으로 업데이트해야 한다고 권고하고 있다.

한편 파트너사 및 벤더사들의 시스템 또한 모두 패치 및 업데이트가 이루어졌는지 확인하고 인터넷 서비스 및 내부 서비스를 이용하는 임직원들의 패스워드를 점검하고, 취약점에 대한 대처가 완료된 후 모두 패스워드를 변경할 수 있도록 조치해야 한다고 강조한다.

▲ 하트블리드 취약점 패치가 미흡한 기업으로 ‘SK브로드밴드’는 1위, KT는 4위, 보라넷은 6위를 차지하는 불명예.
▲ 하트블리드 취약점 패치가 미흡한 기업으로 ‘SK브로드밴드’는 1위, KT는 4위, 보라넷은 6위를 차지하는 불명예.
하지만 쇼단의 발표를 보면 한국은 미국 다음으로 취약점에 노출된 국가로 조사됐다. 특히 국내 대표적인 유무선 인터넷통신업체 ‘SK브로드밴드’는 1위를 차지했고 KT는 4위에 랭크돼 있는 것으로 확인됐다. 또 보라넷(BORANET)은 6위를 차지했다. 하트블리드(Heartbleed) 취약점 패치를 제대로 하지 않은 기업 상위 10개중 한국 기업이 3개나 포함되는 불명예스러운 지표가 발표된 것이다.

‘HeartBleed’는 오픈소스로 만들어진 ‘SSL(Secure Socket Layer)’의 취약점으로 공격성공 시 사용자들의 로그인 정보 및 개인키와 비밀키를 탈취할 수 있는 상당히 위험한 취약점이다. 그럼에도 불구하고 국내 대표적인 기업들이 이에 제대로 대응하지 못하고 있다는 것을 알 수 있다. 한국인터넷진흥원도 언급된 기업들의 점검과 함께 적절한 대응방안을 마련해야 한다.

NTT 이노베이션 인스티튜트(이하 NTT I3)가 발표한 2015 글로벌 위협 인텔리전스 보고서(GTIR)에 따르면 기업 내 시스템 보안 취약성의 76%는 2년 이상, 약 9%는 10년 이상 방치되고 있는 것으로 조사됐다.

제로데이 공격을 막는 것에만 치중할 것이 아니라 하트블리드(Heartbleed)나 셸쇼크(Shellshock) 등과 같은 이미 알려진 중대한 공격에 대한 대응이라도 잘하는 것이 우선이다. 조직의 시스템 내에 존재하는 취약성을 간과하고 그대로 방치하는 것은 정보통신망법에도 위배되는 행위다. 다시 한번 국내 기관들과 기업들의 철저한 점검이 필요한 시점이다.

★정보보안 대표 미디어 데일리시큐!★