2014.04.23

IDG 블로그 | 최악의 버그 하트블리드가 보안 판도를 바꾸지 못하는 두 가지 이유

Fredric Paul | Network World
오픈SSL의 하트블리드 버그 때문에 난리지만 이 버그로 인해 보안의 전체적인 판도가 바뀔 것이라 생각한다면 그것은 오산이다.

CVE-2014-0169인 하트블리드는 오픈 SSL에서 사용자 컴퓨터와 서버의 정보 교환에 대한 보안을 위협하는 최악의 버그다. 그럼에도 불구하고, 필자는 하트블리드가 온라인 보안의 기계적 측면에서든, 아니면 개인이나 기업들이 상황을 해결하는 측면에서든 지속적이고 유의미한 변화를 가져올 것이라 생각하지는 않는다.

하트블리드 버그의 위험성과, 이 버그가 초래한 엄청난 난리 법석을 생각해 볼 때 놀라운 이야기일 수도 있다. 어쨌거나 하트블리드 버그는 다음과 같은 위험한 존재가 아니던가?

- 전세계 웹사이트 약 2/3의 보안을 위태롭게 한 버그다. 이를 통해 해커들은 사용자명, 비밀번호, 그리고 SSL 개인키에 이르기까지 다양한 개인 정보에 접근할 수 있었다.

- 하트블리드는 모바일 앱에도 영향을 미친다.

- 하트블리드는 시스코(Cisco)나 주니퍼(Juniper)처럼 업계 리더들의 다양한 네트워킹 기어(networking gear)를 손상시키며, 이를 고칠 수 있는 방법은 별로 없다.

- 블랙 햇 해커스를 비롯한 온라인 범죄자들은 이미 이 버그를 이용할 방법을 찾고 있다. 한 전문가는 이런 모습을 가리켜 '막차가 끊기기 전에 타기 위해 달려드는 것 같다'고 표현하기도 했다.

- 이 말인 즉, 대부분의 보안 취약점과 달리 하트블리드가 대중에 공개되면서, 적어도 모든 곳에 패치가 설치되기 전까지 우리는 더 많은 위험에 처하게 됐다고 할 수 있으며 노출됐을 가능성이 있는 비밀번호를 바꿔야 한다는 의미이기도 하다.

- 설상가상으로 NSA(National Security Administration)에서는 이 버그에 대해 이미 알고 있었고 수년 전부터 이를 이용해오고 있었다는 혐의를 부정해왔다.

최근 악성코드 이슈와 기업들의 개인정보 유출 행위에 대한 뉴스가 이어지는 가운데, 하트블리드와 같은 대형 사고가 터졌으니 이제 개개인은 물론 웹사이트, 그리고 온라인 스토어들도 보안에 대해 좀더 신중해질 것이라 생각할 지 모른다.

그러나, 절대 그런 일이 일어나지 않을 이유는 두 가지다.
첫째로, 앞서 언급했듯이 미디어에서는 예전에도 하트블리드 만큼이나 심각한 보안 위험에 대해 집중 보도한 적이 몇번 있었다. 초기 위협이나 악성코드들도 위험하긴 둘째가라면 서러운 것들이었다.

하지만 그렇다고 인터넷 사용자들의 보안 의식이 크게 달라지진 않았다. 아직도 너무나 많은 IT 기관에서 보안을 중요하게 생각하지 않고 있는데, 하트블리드가 나타났다고 해서 그게 바뀔 지는 의문이다.

두번째로, 하트블리드 때문에 보안에 큰 구멍이 생긴 건 사실이지만, 이것들이 실제 세계에 영향을 미치려면 아직 시간이 좀 남았다.

CSO의 안톤 곤살베즈(Antone Gonsalves)는 이지 솔루션스(Easy Solutions) CTO 대니얼 잉그발슨(Daniel Ingevaldson)의 말을 인용하기도 했다. '페이스트빈(Pastebin)에서 발견된 버그에 감염되지 않았거나 패치된 1만 개의 도메인 목록들은 그저 비밀번호와 주요 개인 정보를 필요로 하는 해커들의 '빌보드차트'에 다름없다'고 말이다.

그러나 설령 이런 목록들이 신원 도용이나 기타 범죄에 이용된다고 해도, 하트블리드와의 연관성을 확실하게 증명하기란 어려울 것이다.

요점을 말하겠다. 개인은 물론 중소기업, 대기업, 심지어 정부까지도 놀라울 정도로 온라인 보안 문제를 무시하는 모습을 보인다. 실제적인 피해를 겪어 보지 않는 이상(혹은 주변 사람이 이로 인해 피해 겪는 모습을 보지 않는 이상) 이들에게 있어 온라인 보안은 그저 추상적 위험일 뿐이다.

일상생활의 사소한 걱정과 두려움에 비하면 너무나 멀리 떨어져 있는 위험 말이다. 어떤 면에선 그게 좋은 일인지도 모른다. 고작 인터넷 하나 사용하면서 겁에 질리고픈 사람이 어디 있겠는가?

하지만 지금까지 별 일 없었다고 해서 미래에도 별 일 없이 지나갈 수 있을 거라 생각하는 건 망상에 가까운 기대에 불과하다. 사실상 보안을 포기하겠다는 말과 다를 바 없다.

필자가 틀렸기를 바란다. 사람들이 하트블리드의 위험성에 설득되어 온라인 활동에 대한 보안을 제발 강화하기를 바란다. editor@itworld.co.kr


2014.04.23

IDG 블로그 | 최악의 버그 하트블리드가 보안 판도를 바꾸지 못하는 두 가지 이유

Fredric Paul | Network World
오픈SSL의 하트블리드 버그 때문에 난리지만 이 버그로 인해 보안의 전체적인 판도가 바뀔 것이라 생각한다면 그것은 오산이다.

CVE-2014-0169인 하트블리드는 오픈 SSL에서 사용자 컴퓨터와 서버의 정보 교환에 대한 보안을 위협하는 최악의 버그다. 그럼에도 불구하고, 필자는 하트블리드가 온라인 보안의 기계적 측면에서든, 아니면 개인이나 기업들이 상황을 해결하는 측면에서든 지속적이고 유의미한 변화를 가져올 것이라 생각하지는 않는다.

하트블리드 버그의 위험성과, 이 버그가 초래한 엄청난 난리 법석을 생각해 볼 때 놀라운 이야기일 수도 있다. 어쨌거나 하트블리드 버그는 다음과 같은 위험한 존재가 아니던가?

- 전세계 웹사이트 약 2/3의 보안을 위태롭게 한 버그다. 이를 통해 해커들은 사용자명, 비밀번호, 그리고 SSL 개인키에 이르기까지 다양한 개인 정보에 접근할 수 있었다.

- 하트블리드는 모바일 앱에도 영향을 미친다.

- 하트블리드는 시스코(Cisco)나 주니퍼(Juniper)처럼 업계 리더들의 다양한 네트워킹 기어(networking gear)를 손상시키며, 이를 고칠 수 있는 방법은 별로 없다.

- 블랙 햇 해커스를 비롯한 온라인 범죄자들은 이미 이 버그를 이용할 방법을 찾고 있다. 한 전문가는 이런 모습을 가리켜 '막차가 끊기기 전에 타기 위해 달려드는 것 같다'고 표현하기도 했다.

- 이 말인 즉, 대부분의 보안 취약점과 달리 하트블리드가 대중에 공개되면서, 적어도 모든 곳에 패치가 설치되기 전까지 우리는 더 많은 위험에 처하게 됐다고 할 수 있으며 노출됐을 가능성이 있는 비밀번호를 바꿔야 한다는 의미이기도 하다.

- 설상가상으로 NSA(National Security Administration)에서는 이 버그에 대해 이미 알고 있었고 수년 전부터 이를 이용해오고 있었다는 혐의를 부정해왔다.

최근 악성코드 이슈와 기업들의 개인정보 유출 행위에 대한 뉴스가 이어지는 가운데, 하트블리드와 같은 대형 사고가 터졌으니 이제 개개인은 물론 웹사이트, 그리고 온라인 스토어들도 보안에 대해 좀더 신중해질 것이라 생각할 지 모른다.

그러나, 절대 그런 일이 일어나지 않을 이유는 두 가지다.
첫째로, 앞서 언급했듯이 미디어에서는 예전에도 하트블리드 만큼이나 심각한 보안 위험에 대해 집중 보도한 적이 몇번 있었다. 초기 위협이나 악성코드들도 위험하긴 둘째가라면 서러운 것들이었다.

하지만 그렇다고 인터넷 사용자들의 보안 의식이 크게 달라지진 않았다. 아직도 너무나 많은 IT 기관에서 보안을 중요하게 생각하지 않고 있는데, 하트블리드가 나타났다고 해서 그게 바뀔 지는 의문이다.

두번째로, 하트블리드 때문에 보안에 큰 구멍이 생긴 건 사실이지만, 이것들이 실제 세계에 영향을 미치려면 아직 시간이 좀 남았다.

CSO의 안톤 곤살베즈(Antone Gonsalves)는 이지 솔루션스(Easy Solutions) CTO 대니얼 잉그발슨(Daniel Ingevaldson)의 말을 인용하기도 했다. '페이스트빈(Pastebin)에서 발견된 버그에 감염되지 않았거나 패치된 1만 개의 도메인 목록들은 그저 비밀번호와 주요 개인 정보를 필요로 하는 해커들의 '빌보드차트'에 다름없다'고 말이다.

그러나 설령 이런 목록들이 신원 도용이나 기타 범죄에 이용된다고 해도, 하트블리드와의 연관성을 확실하게 증명하기란 어려울 것이다.

요점을 말하겠다. 개인은 물론 중소기업, 대기업, 심지어 정부까지도 놀라울 정도로 온라인 보안 문제를 무시하는 모습을 보인다. 실제적인 피해를 겪어 보지 않는 이상(혹은 주변 사람이 이로 인해 피해 겪는 모습을 보지 않는 이상) 이들에게 있어 온라인 보안은 그저 추상적 위험일 뿐이다.

일상생활의 사소한 걱정과 두려움에 비하면 너무나 멀리 떨어져 있는 위험 말이다. 어떤 면에선 그게 좋은 일인지도 모른다. 고작 인터넷 하나 사용하면서 겁에 질리고픈 사람이 어디 있겠는가?

하지만 지금까지 별 일 없었다고 해서 미래에도 별 일 없이 지나갈 수 있을 거라 생각하는 건 망상에 가까운 기대에 불과하다. 사실상 보안을 포기하겠다는 말과 다를 바 없다.

필자가 틀렸기를 바란다. 사람들이 하트블리드의 위험성에 설득되어 온라인 활동에 대한 보안을 제발 강화하기를 바란다. editor@itworld.co.kr


X