사상 최악의 인터넷 보안 위협으로 불리는 '하트블리드(heartbleed) 버그'로 인한 첫 개인정보 유출 피해사례가 캐나다와 영국에서 공개되면서 전세계에 정보보안 비상이 걸렸다. 하트블리드는 인터넷에서 각종 정보를 암호화할 때 쓰는 기술 '오픈 SSL'에서 발견된 심각한 보안결함을 말한다. 로그인 정보나 개인정보·금융정보를 서버로 전송할 때 오픈 SSL을 이용해 암호화하는데 이 버그를 악용하면 인터넷에서 주고받은 모든 정보를 빼내갈 수 있다. 암호화된 자료를 다시 암호화 전 상태로 되돌려주는 '만능키(secret key)'까지 유출 가능하고 흔적도 거의 남지 않는다는 게 가장 큰 골칫거리다.
피해 사실이 알려지자 미국과 유럽 국가들은 정부가 나서 기업과 이용자들에게 보안패치 적용 및 비밀번호 변경을 경고하는 등 발 빠른 조치를 취하고 있다. 우리나라에는 아직 피해사례가 보고되지 않았고 정부가 긴급 보안패치 공급과 유관기관 협조체제를 구축하는 등 대응책 마련에 나섰다고 하니 다행이다. 그렇다고 마냥 안심할 수는 없다. 보안패치를 업데이트하려면 기존 서비스와의 안정성 시험을 거쳐야 하기 때문에 대응에 시간이 필요하다.
더 큰 문제는 국내 금융기관이나 기업의 상당수가 이 문제의 심각성을 제대로 인식하지 못하고 있다는 점이다. 세계적 보안솔루션 업체인 트랜드마이크로의 조사에 따르면 오픈 SSL 업데이트를 제대로 하지 않은 한국 도메인 '.kr'가 버그에 가장 많이 노출돼 있다. 정부는 취약점이 노출된 곳을 파악해 패치 적용, 보안 시스템 점검을 독려하고 최악의 경우 서비스 운영 중단 등 후속조치 검토와 함께 상대적으로 보안인력과 시스템이 열악한 중소기업에 각별히 신경을 써야 한다. 변종 악성코드의 출현도 예상되는 만큼 백신 개발에 만전을 기하기 바란다.
