오늘 아침 신문 1면에 Canada Revenue Agency(캐나다 세무국)의 컴퓨터가
요즘 세계 전역을 강타한 Heartbleed 의 공격을 당해서
문제가 해결되기까지 온라인 서비스가 전면 중단되었다는 기사가 실렸다.
이로 인해서 매년 4월 30일까지 캐나다 국민들이 각자의 세금 정산을 위한 서류를 제출하는데
이 bug로 컴퓨터의 보완 시스템에 문제가 발견되어서 올해 세금정산에 차질이 생길 우려가 있다고 했다.
작년만 해도 85% 이상이 온라인으로 이 서류가 제출되는데, 늦어도 다음 월요일까지
문제 해결이 될 때까지 컴퓨터 보고는 중지되고, 심지어는 마감날짜까지도 연장될 예정이라고 한다.
Heartbleed bug logo
며칠 전부터 연일 전 세계의 웹사이트와 이메일 서버들을 조작하고 running 하는
근본적인 소프트웨어의 취약점으로 인해서
해커들이 온라인 상에서 거래되는 경제적인 활동과 웹사이트의 보호를 위해서 사용된
암호를 빼 돌리는 사건이 연일 세계 주요 신문 1면 톱기사로 올라오고 있다.
이 사태의 크기는 점점 확산되는 추세로, 인터넷 사용자들이 검색을 하거나
이 메일에 로그인을 할 때에 개인정보가 유출될 수 있기도 하다.
이런 엄청난 사태를 몰로 온 주범은 'Heartbleed" 라고 불리는 일종의 bug 로
대부분의 웹 서버에서 사용하는 openSSL 이라는 프로그램을 공격한다.
이미 이 bug 에 공격을 받은 시스템은 '감염된' openSSL 을 사용하는 Imgur, OKCupid, Eventbrite,
그리고 심지어 FBI 웹사이트도 공격을 받을 정도로 사태가 심각한 수준까지 도달했다.
해커들은 소프트웨어의 취약점을 악용해서, '감염된' 사이트에 마지막으로 로그인 한 사용자의
쿠키를 취득해서 개인정보를 빼돌리고 있다.
SSL은 현재 웹사이트를 보호하기 위해서 가장 많이 사용하는 테크놀로지이다.
SSL 을 사용하는 수많은 웹 서버들이 사이트의 방문자들에게 일단 암호코드를 제공해 주면
서버와 방문자들 사이에 오가는 정보들이 안전하게 보호 해주는 역할을 한다.
따라서 이런 시스템은 온라인 쇼핑이나 은행업무, 심지어 온라인 도청 등
다양하고 수많은 온라인 서비스를 사용하는 사용자와 서버 사이에서 주고받는 데이타들이
제 3자가 중간에서 가로 챈 후에 개인의 비밀정보를 알아내는 것을 방지하는 테크놀로지이다.
Heartbleed 는 그런 중요한 데이터의 송신과 수신 중에 안전하게 보호하는 이 SSL을 겨냥해서
사이버 범죄자들이 암호코드로 된 비밀정보를 읽을 수 있는 아주 위험한 bug 일 뿐 아니라
원래 데이터를 보호하기 위한 encryption keys(암호기호) 를 거꾸로 재활용해서
실제 사용자인 것 처럼 행세할 수 있기에
서버들이 이 bug를 점검하고 제거한 후에도 재공격을 당할 가능성이 있어서,
남아있는 정보를 지속적으로 업데이트를 해야만 한 아주 고약한 bug 이다.
결론적으로 이 고약한 녀석은 온라인으로 오가는 모든 정보를 도청할 수 있는 무시무시한 괴물인 셈이다.
Heartbleed 는 2012년 3월에 openSSL 에 침투해서 지난 2년동안
인터넷 쇼핑, 이메일, 온라인 뱅킹 등을 제공하는 수많은 웹 서버를 휘젓고 다니는 것을 최근에야 발견되었지만,
사이버 범죄자들이 빼돌린 정보를 얼마만큼 악용한지는 아직 정확하게 알려지지 않았다.
다행스럽게도 Heartbleed 는 쉽게 고칠 수 있는 문제이다.
하지만 이 녀석을 완전히 제거하려면, 감염된 모든 사이트와 서비스의
소프트웨어를 전면적으로 업데이틀 해야만 한다.
현재까지 구글, 야후, 그리고 대부분의 은행들은 이런 조치를 마쳤지만,
아직도 많은 사이트들은 감염퇴치 작업이 활발하게 진행중이다.
이런 상황에서 사용자들이 사이버 사기를 피하기 위해서는
서버들이 이 bug 을 퇴치하기까지 인터넷 뱅킹, 온라인 쇼핑등 은행정보나 크레디트 카드 정보가
유출되는 사이트에 로그인을 중단하는 것이 가장 바람직하다.
이 사태로 미디어에서 사용자들에게 모든 패스워드를 곧바로 바꾸라고 난리를 떨기도 했는데
이런 어드바이스는 올바른 해결책이 아니다.
개인의 패스워드를 반드시 변경하는 것은 필요하지만, 특히 한 패스워드로 여러 사이트에서 사용한다면
Heartbleed를 완전히 퇴지한 후에 변경해야 안전하다.
만약 그 전에 변경한다면 새로운 패스워드는 또 다시 같은 방법으로 도난 당할 수 있기 때문이다.
오픈 인터넷 상에서 Heartbleed 는 최대의 위험을 가져다 준 것은 사실이지만,
사용자들의 패닉을 상태가 더 악화되기도 한 이번 bug 은 이미 해결이 났거나,
조만간에 해결이 나서 사용자들의 개인정보는 또 다시 안전하게 오 갈것이다.
세계 어디서도 인터넷과 IT가 전무였던 80년대 초반에 당시 로이터나 AP 등 텔렉스대신
각 회사에서 직접 그들의 자금을 운영하고 다양한 은행 업무를 사용할 수 있는 electronic banking 을
세계 최초로 시작하게 하는데 한 몫을 담당했던 IT 엔지니어로서
오랜 세월이 흘렀는데도 이런 기사를 접하게 되면, 아직도 먼 남의 일 같지 않다.
80년도 초반에 주재원 자격으로 한국에 갔을 당시
지금 첨단기술의 리더인 삼성 빌딩 내에 pc 한대도 볼 수 없었던 때였는데,
온라인 뱅킹 프로그램을 개발 중에,
데이터 내용이 회사와 은행 사이의 돈 내역이기에 당시도 제일 고심했던 부분이 바로 정보의 보안이었다.
나름 최대한으로 신경을 써서 프로그램을 만들었지만, 100% 안전한 시스템을 만든다는 자체가 불가능하기에
온라인 서비스가 존재하는 한 언제라도 Heartbleed 같은 정보유출사고가 일어 날 가능성은 늘 따라 다닌다.
마지막으로 짧은 시간에 지구촌의 수많은 사람들이 인터넷의 편리함의 혜택속에 살고 있지만,
한편으로 우리에게 아무리 좋은 약이라도, 약의 부작용도 따르는 것처럼
우리의 삶을 편리하게 해 주는 반면 필요악이 늘 따라 다닌다는 것을 잊지 말아야 한다는 것을
Heartbleed 사건이 다시 우리에게 일깨워 주는 좋은 계기가 되었다.
epilogue: "뛰는 놈 위에 늘 나는 놈이 있다" 이란 말이 진리이다.
'Just Because.... > Science·Math' 카테고리의 다른 글
| 혜성 67/P C-G 에 최초로 착륙한 로제타 & 필레 (Rosetta Mission & Philae Lander) (0) | 2014.11.14 |
|---|---|
| 2014 노벨화학상 수상자들과 형광현미경: Eric Betzig,William Moerner & Stefan Hell (0) | 2014.10.09 |
| 100세를 맞이한 라이카 카메라(Leica Camera) (0) | 2014.08.26 |
| 2013 노벨 물리학상의 수상자 피터 힉스 & 프랑소와 앙글레 그리고 신의 입자 보손 (0) | 2013.10.10 |
| 여름밤 하늘에 펼쳐진 아름다운 별똥별 우주쇼(Perseid Meteor showers) (0) | 2013.08.15 |
| 새 카테고리 (Science & Tech.) 를 추가하면서.... (0) | 2010.05.30 |
