하트블리드와 같은 문제를 영원히 추방하려면

충분히 막을 수 있었던 사건으로 드러난 문제점들

오픈소스가 가질 수 있는 본질적인 문제점과 해결책

[보안뉴스 문가용] 하트블리드 취약점이 세상에 드러난 지 꽤나 시간이 지났다. 그에 따라 보안전문가들은 하트블리드와 그 사건이 주는 교훈에 대해 냉철하게 생각해볼 수가 있게 되었다. 세상 모든 사건이 그렇지만 하트블리드의 인과관계도 단순하지는 않았다. 하지만 문제의 핵심은 IT 분야에 만연해 있던 업그레이드 및 패치의 느리거나 불규칙적인 주기였다.

▲ 건강한 심장은 건강한 습관에서부터

OpenSSL 암호화 소프트웨어 라이브러리에서 발견된 하트블리드 취약점(CVE-2014-0160)은 SSL/TLS가 보호하는 정보의 보안성에 영향을 미친다. SSL/TLS는 웹 브라우징, 이메일, 인스턴트 메시지, VPN과 같은 인터넷 애플리케이션의 커뮤니케이션을 단단하게 보호하는 기능을 가지고 있다.

이 취약점을 공격하면 메모리에 접근할 수 있게 되고 이로써 개인 키에 대한 접근도 가능해진다. 개인 키를 해커가 가지게 된다면 SSL/TLS 연결 내에 존재하는 콘텐츠에 대한 접근도 가능해진다. 여기엔 사용자 이름과 암호도 포함되어 있어 위험하다. 또한 해커는 중간자 공격도 실행할 수 있게 되며 다른 여러 서비스에 실제 사용자인 것처럼 접근할 수 있게 된다.

문제의 근원은 OpenSSL 내의 잘못된 프로그래밍 때문인 것으로 밝혀졌다. 이 취약점은 2012년 3월에 발표된 1.0.1 버전에서부터 널리 알려져 악용되었으며 1.0.1과 1.0.1f 사이에 있는 모든 버전에 포함되어 있었다. 2014년 4월 7일에 발표된 OpenSSL 1.0.1g에서는 이 문제가 해결되었다. 하트블리드는 프로그래밍 단계에서의 오류 뿐 아니라 여러 가지 문제점을 드러냈는데, 이는 크게 세 가지로 정리할 수 있다.

하트블리드가 드러낸 문제점들

1. 이전까지 오픈 소스 소프트웨어를 검토하는 수단은 대중 사용자들에 의한 ‘사용’ 뿐이었다. 여러 사람들의 손을 거치면서 악성 코드나 취약점도 발견할 수 있고 그에 따른 해결책도 자연스럽게 발생하는 선순환 구조에 기댄 것이고, 통상 이 주기를 2년으로 봤다. 하지만 이번 하트블리드 사건으로 인해 이런 구조가 과연 효율적인지, 2년이 너무 긴 건 아닌지 하는 고민이 시작되었다.

2. 패치 작업은 보통 규제력을 가진 기관이나 업체에서 진행하거나 명령했다. 그런데 보통의 패치 작업은 시스템을 ‘최신화’시키는 것과 동일한 말이었다. 규제력을 가진 곳에서 최신화를 요구하니 기업들은 어지간해선 이를 따를 수밖에 없었고, 이 때문에 필요도 없는 기능까지 떠안아야 했다. OpenSSL 1.0.1 버전에 있던 DTLS 기능이 필요한 조직이나 기업 역시 거의 없었다.

3. IT 분야에 생기는 변화를 수용하는 조직 및 기업의 능력에 많은 의문이 생겼다. 대부분 행정문서 상에서 그쳤고, ‘필요한 양식을 채워 넣는 것’이 패치 작업과 동일한 의미를 가졌다. 실효성 있는 실험을 진행하고 그 결과를 바탕으로 제대로 된 조치를 취한 업체는 거의 없었다.

그렇다면 우리는 어떤 조치를 취할 수 있을까?

발견된 문제에 대한 조치

1. 오픈소스가 널리 퍼지기 시작하면서 그에 대한 경계심이 점점 줄어들고 있다. 경계가 줄어드는 곳에 위험이 싹트는 법이다. 남들 다 사용하는 오픈소스니 우리도 사용한다는 안일한 태도가 하트블리드처럼 대규모 사고로 발전하는 것이다. 남들 다 사용하지만 나만큼은 철저히 검토를 하겠다는 태도가 중요하다.

2. 회사 내 시스템에 변화를 줘야 하는 때가 꼭 이렇게 한 번씩 찾아온다. 이럴 때 유연하게 대처하려면 그런 상황에 대한 규정과 절차를 미리미리 정립해야 한다. 사업적 및 기술적인 필요와 요구사항을 모두 반영해야 하며 충격 완화에 대한 대책도 있어야 한다. 무엇보다 생산성을 최대한 보호할 수 있는 방법을 고려해야 한다.

3. 가장 최신 버전의 업데이트라고 해서 가장 안전하고 강력한 건 아니다. 그러므로 먼저 다른 사용자들의 사용후기나 업데이트 후 반응들을 꼼꼼하게 살핀 후 ‘한발 늦은’ 업데이트를 하는 것도 좋은 방법이다.

돌아보면 돌아볼수록 하트블리드는 얼마든지 막을 수 있었고, 피해 규모를 줄일 수 있었던 사건이었다. 하지만 이제 와서 ‘그럴 수 있었다’고 후회한들 무슨 소용인가. 막을 수 있었다는 건 우리에게 이미 대처법이 있었다는 말도 되니, 그 대처법을 다시 한 번 짚어보는 게 더 의미있는 일이 될 것이다. 오픈소스가 점점 퍼지고 있는 때에 그에 대한 경각심을 갖는 건 하트블리드를 한번 겪은 우리에겐 자연스러운 학습과정이 되어야 할 것이다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)