'하트블리드 버그'가 전 세계를 뒤흔들고 있다.

캐나다 국세청은 14일(현지시각) 900명의 개인정보가 유출되는 피해를 입었으며, 영국의 육아정보 사이트는 버그 노출 가능성 때문에 모든 회원들에게 비밀번호 재설정을 요구했다.

16일 미래창조과학부와 한국인터넷진흥원은 ‘하트블리드’(Heartbleed) 버그에 대응하기 위해 관계부처와 공동대응에 나섰다.

하트블리드가 무엇이기에 국내외를 막론하고 세계적인 문제가 되고 있는 것일까.

◆ Open SSL, '심장출혈 버그'

지난 4월1일 핀란드의 보안회사인 코데노미콘은 ‘오픈 SSL’(Open SSL)의 ‘하트블리드’(Heartbleed) 버그를 공개했다.

하트블리드는 하트비트에서 유래한 말로 심장출혈을 뜻한다.

다수의 웹사이트에서 사용되는 오픈SSL은 사용자의 컴퓨터와 서버가 정보를 교환할때 사용되는 소프트웨어다. 사용자가 웹사이트에서 입력해 서버로 보내는 아이디와 패스워드를 시작으로 모든 정보를 교환할때 암호화와 암호화 해제 과정을 거치는데 쓰이는 프로그램이다.

하트비트(심장박동)는 사용자가 웹사이트에 정보를 보내지 않더라도 연결을 유지하기 위해 사용되는 확장 프로토콜(통신규약)이다. 웹사이트에서 정보를 보호하면서도 연결이 되어 있는지를 주기적으로 확인하기 위해 사용된다.

여기서 하트블리드 버그를 이용하면 서버의 작동 여부를 확인하면서 메모리에 저장중인 데이터를 끌어올 수 있다.

하트블리드의 문제는 이 보안 결함이 지난 2012년 오픈SSL 1.0.1 버전때부터 있었다는 점과 세계 웹사이트의 절반이 이 프로그램을 사용해 보안을 유지하고 있었다는 것이다.

보안 분야 세계 최고 권위자 중 하나인 브루스 슈나이더 하버드대 석학연구원은 자신의 블로그에서 이 사태에 대해 '대재앙'이라면서 보안위협에 점수를 1부터 10까지 매긴다면 '11'이라고 밝혔다.

◆ 국내에는 문제 없을까?

일단 현재 발견된 오픈SSL의 취약점인 하트블리드 버그는 지난 9일 배포된 버전으로 업데이트하면 막을 수 있다.

정부는 지난 8일 이미 국내 모든 인터넷 관련 기업들을 대상으로 오픈SSL의 보안패치를 적용해줄 것을 공지한 상태다.

일각에서는 국내에서는 오픈SSL 뿐만 아니라 공인인증서 등 독자적 보안체계를 갖추고 있었던 만큼 되려 상대적으로 안전한 구조라는 주장도 나오고 있다.

현재 미래창조과학부와 한국인터넷진흥원은 정보보호산업협회와 인터넷기업협회, 공인인증기관 등을 통해 관련업계와 기관에 보안 점검을 독려하고 있다.

아직까지 국내에서 오픈SSL의 하트블리드 버그와 관련한 문제는 발생하지 않은 것으로 알려졌다. 다만 보안업체인 카스퍼스키에서 밝힌 것처럼 이 사태에 대한 가장 무서운 점은 "그동안 어떤, 얼마나 많은 정보가 빠져나갔는지 알 수가 없고 누가 정보를 빼나갔는지에 대한 추적도 불가능하다"라는 것이다.

미래부는 이와 관련 "아직 침해 사고가 발생하지는 않았지만 이용자들은 비밀번호 등을 바꾸는 것이 안전하다"고 권고했다.