동아일보

.kr 도메인 56% 하트블리드 취약… 정부 뒤늦게 “대책 마련”

  • 동아일보

  • 입력 2014년 4월 17일 03시 00분

글자크기 설정

코멘트

본보 ‘버그 공포’ 보도에 보안 비상

크게보기

《 ‘인터넷 역사상 최악의 보안 결함’이라고 평가받는 ‘하트블리드’ 버그에 대해 정부가 이번 주 관계부처 합동 회의를 열기로 하는 등 대응책 마련에 속도를 내고 있다. 》
최근 세계 인터넷 업계를 강타한 ‘하트블리드’ 버그에 대한 국내 대처가 지지부진하다는 지적이 나오는 가운데 정부가 빠르면 17일 관계 부처 합동회의를 열고 대응책 마련을 논의하기로 했다. 이번 회의는 하트블리드 버그가 발견된 지 약 10일 만에 열리는 첫 오프라인 회의다.

보안업계는 “뒤늦게나마 정부가 머리를 맞대기로 한 건 다행”이라고 평가하면서도 “이미 하트블리드 버그가 공개된 지 열흘 가까이 지났기 때문에 수면 밑에서 사고가 벌어졌을 가능성을 배제할 수 없다”고 우려한다. 특히 중소·중견 기업의 경우 보안 담당자가 아예 없는 경우가 많고, 있다 해도 기술적 어려움 때문에 보안패치를 적용하지 못한 경우가 적잖아 지원 인력 확충이 절실하다는 지적이다.

○ 정부 보안정책 엇박자 개선돼야

미래창조과학부는 16일 “이번 주 국가정보원, 안전행정부, 금융위원회 등 관계 부처 실무자들이 참석하는 회의를 열고 하트블리드 버그에 대처하기 위한 협조체제를 구축할 예정”이라고 밝혔다. 미래부는 이 자리에서 하트블리드의 위험성 및 국내 현황을 공유하고 한국인터넷진흥원(KISA)을 활용한 관계 부처 보안패치 기술 지원 방안도 밝힐 예정이다.

현재 우리나라는 인터넷 보안과 관련해 크게 △민간 및 보안기술 관련 분야는 미래부 △국가안보 분야는 국정원 △국가행정 분야는 안행부 △금융 분야는 금융위로 담당 부처가 나뉘어 있다. 이렇게 나눈 취지는 분야별 전문성을 살리기 위한 것이지만 국가적 보안 위협이나 사고 발생 시에는 유기적 대처 능력이 떨어진다는 지적이 많았다. 이번 하트블리드 버그의 대처 과정에서도 각 부처가 사실상 서로의 사정을 거의 몰라 빈틈없고 민첩한 대응에 실패했다는 지적이 나오고 있다.

미래부는 “안행부 등 보안 기술 적용에 어려움을 겪는 부처가 있다면 KISA를 통해 지원할 것”이라며 “기업 중에서도 기술적 애로사항이 있는 곳은 KISA 118로 문의하면 취약점 점검 및 패치에 대한 기술지원을 받을 수 있다”고 말했다.

○ 지원 인력 태부족 “위험 알아도 속수무책”

하지만 현재 KISA 118의 상담인력은 50명 수준에 불과하다. 국내 웹사이트 수가 230만 개에 달하는 상황에서 어떤 사이트가 위험에 노출돼 있고 어떻게 해야 안전하게 보안패치를 적용할 수 있는지 일일이 확인해 지원하기는 쉽지 않은 실정이다.

익명을 요구한 한 대기업 보안 관계자는 “보안패치가 웹상에 공개돼 있지만 이를 안전하게 적용하는 일은 보안 전문가가 상주하는 대기업의 경우에도 간단한 작업이 아니다”라며 “자사 서비스나 자산 중에 어떤 부분이 하트블리드의 영향을 받는 시스템인지 가려내는 일조차 쉽지 않다”고 말했다.

이는 하트블리드 결함이 발견된 오픈SSL 암호화 기술이 웹서비스뿐 아니라 네트워크 장비 및 각종 보안장비, PC 소프트웨어, 모바일 운영체제(OS) 등 다양한 영역에 광범위하게 사용되기 때문이다.

실제 국내 한 유명 웹호스팅 업체 관계자는 “우리 회사의 경우 오픈SSL 사용이 의무적이어서 하트블리드 버그로 인한 취약성이 매우 높은 편”이라며 “버그의 존재를 알게 된 후 일괄적으로 보안패치를 깔긴 했지만 패치가 되지 않는 보안장비들도 있어 장비업체에 별도의 패치를 요청한 상태”라고 말했다.

○ 보안업계 “한국, 큰 피해 입을 것” 경고

이런 상황에서 글로벌 보안업체들은 하트블리드 버그에 가장 취약한 나라가 한국이 될 것이라는 자료를 속속 내놓고 있다. 미국의 보안전문기업 ‘트렌드 마이크로’가 세계 주요 웹사이트 100만 개를 분석한 결과 ‘.kr’로 끝나는 한국 도메인의 경우 조사대상 사이트의 56%가 하트블리드 버그 취약점에 노출된 것으로 나타났다. 이는 세계 여러 나라 도메인 중 가장 높은 비율이다. 웹보안 전문회사 빛스캔의 전상훈 최고기술책임자는 “현재 국내 기업 상당수가 하트블리드의 심각성을 제대로 인식하지 못하고 있다”며 “취약점에 노출된 곳 대부분이 서비스 운영 중인데 서비스를 중단하고라도 당장 보안패치를 해야 한다”고 강조했다.

임우선 imsun@donga.com·김호경 기자
#하트블리드#도메인#버그 공포#보안
  • 좋아요
    0
  • 슬퍼요
    0
  • 화나요
    0
  • 추천해요

댓글 0

지금 뜨는 뉴스