하트블리드(Heartbleed), 호들갑 떨지 마라!

먼저, 하트블리드(Heartbleed)란,

OpenSSL에서 사용하고 있는 "하트비트(Heartbeat)"라고 일컬어지는 패킷을 조작해서 실제 이상으로 많은 정보를 불법적으로 취득할 수 있는 취약점을 말한다. 논리적으로 최대 64KB까지 불법적으로 획득할 수 있다고 한다. 즉, 원래 설계상 보낸 만큼만, 즉, 3byte를 보내면 3byte만 받아야 하는데 그것이 아니라 약간의 조작만 가하면 최대 64KB까지 현재 서버 메모리에 있는 기타 정보를 불법적으로 획득할 수 있게 되는 버그를 말한다. SSL 서버 메모리의 특성상 해당 64KB 안에는 특정 개인의 ID, Password와 같은 인증 정보부터 시작해서 서버를 통해 오갈 수 있는 모든 정보가 포함될 수 있다는 점이 문제에 대한 상상력의 시작이 되겠다.

>> 참고: http://news.naver.com/main/read.nhn?mode=LSD&mid=shm&sid1=105&oid=030&aid=0002268946

일단 위 참고 링크를 보면, 가관이다! 한 마디로 난리가 났다!

각 제목, 부제목만 봐도 얼마나 가관인지 알 수 있다.

"하트블리드, 윈도XP보다 더 급하다"

"하트블리드에 한국 ‘뻥’ 뚫렸다"

"웹과 연결된 모든 기기와 서비스에 구멍"

어처구니가 없어도 유분수지,

이건 북한 무인기 위협을 과장 보도한 것보다도 훨씬 더 심한 과장 보도라 하지 않을 수 없다.

당장 위 기사만 자세히 들여다봐도 위 문제는 오픈SSL 1.0.1 버전부터 1.0.1f 버전 사이, 즉 1.0.1 버전에서만 나온 버그임을 알 수 있다. 무슨 얘기나면, 일단 현재 진행형이 아닌, 지금은 이미 해결된, 2년도 넘은 과거 버전이라는 거다. 물론 라이브러리 특성상 한번 사용한 것은 어지간한 문제가 발생하지 않고서야 쉽게 업데이트 하지 않을 가능성이 높으니 2년 전, 즉 2012년 이후 약 1~2년 정도 사이에 개발한 솔루션이나 제품들이 문제의 라이브러리를 사용했을 가능성은 상당히 높을 수는 있겠다.

게다가 오픈SSL이 뭔가? 어느 특정 서비스, 특정 사이트에서만 서비스하는 건가? 아니다, 전세계 수많은 오픈소스 기반 보안 제품 또는 솔루션들이 채용해서 사용하고 있는 SSL 서비스다. 특정하기가 쉽지 않다는 얘기다. (이건 반대로 그만큼 쉽게 공격 대상이 될 수 있다는 의미도 될 수는 있겠다.)

이게 무슨 얘기냐면, 이 하트블리드 버그라는 것은 DDoS나 웜 바이러스처럼 무작정 뿌린다고 감염되거나 피해를 입는 성질의 것이 아니라, "특정" 정보를 무단 취득한 다음에 그 정보를 정제해서 "악용"을 해야만 피해가 발생할 수 있는, 사람의 개입이 필요한 "인위적인" 것이란 의미다.

위 기사에서 뻥치고 있는 인터넷 전화, VPN, 스마트폰도 타겟이 될 수 있다는 것은, 뭐 일단 최악의 상황을 가정한다면 꼭 틀린 것은 아닐 수도 있겠다.(모든 보안 이슈는 항상 "최악"을 염두에 두는 것이 정상이니...) 그런데, 버그가 있는 라이브러리를 사용한 제품은 100% 문제가 발생할까? 어림 없는 소리다. 그 버그가 실제로 악용이 될 때만, 즉 아주 특수한 상황(임의 변조 공격)에서만 동작하는 버그인 만큼, 또 그것도 항상 문제가 되는 것이 아니라 누군가 특정 해커(크래커)가 작정하고 노리고 있는 순간(또는 특정 시간 간격 동안)에만 문제가 될 수 있는 것인 만큼 그리 큰 문제라 보기 어렵지 않을까?

무슨 말인가 하면, 대부분의 개인정보 유출 관련 버그가 그렇듯, 누군가 이 버그를 악용할 수 있는 기술을 터득한 특정 해커(크래커)가 아주 작정하고 노리고 이 버그를 악용할 때만 문제가 될 수 있는 그 특성 상, 전 세계 수백 수천 만 제품 중에 딱 하나, 해당 특정 제품이 그 타겟이 될 가능성이 과연 얼마나 될까? 수백, 수천 만 분의 일? 그게 익명의 대중을 상대로 상시 서비스 중인 서버 제품이라면 그나마 미미한 수치의 확률일지라도 개인정보가 유출될 가능성이 있을 수는 있겠다, 딱 알려진 그 이름값 만큼의 비중을 더해서.

그래봤자 불특정 다수가 사용하는 서버라면 그 특성상 순간적으로 오가는 그 수십 ~ 수백 메가 바이트 이상 단위의 그 많은 정보 속에서 특정 유의미한 정보(타인의 계정 인증 정보를 빼낼 수 있을 만한 수준)를 끄집어내기란 사실상 불가능에 가까운 일(아무리 빅데이터가 상용화된 오늘날이라 하더라도). 아예 작정하고 특정 서버에 접속하는 특정 사용자를 대놓고 노리고 있는다면 그나마 확률이 조금은 높아질 수는 있겠지만 말이다. (또, 아예 해킹툴처럼 변조된 SSL 클라이언트를 만들어 무작위 배포하여 아무나 쓸 수 있는 상황도 있을 수 있긴 하겠지만, 역시 특정 목적을 가진 특정 인물이 목적 달성을 위해 장시간 데이터를 취합/분석하는 수고를 해야 한다는 점에서는 차이가 없다. 과연 그 수고로움을 감당할 사람이 있을까? ROI, 즉 투입하는 시간 만큼 원하는 결과물이 과연 나올 수 있을까? 이점이 몹시 회의적이라 하지 않을 수 없다.)

하물며 익명의 불특정 대중을 상대로 하는 오픈 서비스 서버도 아니고, "제한된 실명 고객"(인터넷 전화, 스마트폰 등)을 상대로 하는 제한된 서버 제품이, 하필 딱 그 해당 버그가 있는 오픈SSL 라이브러리를 탑재하고 있어서, 하필 공격의 대상이 될 확률은 얼마나 될까? 설령 무작위로 날린 해킹 패킷에 의해 임의의 민감한 데이터가 노출이 됐다고 한들, 거기에 해당 해커에게 "유의미한 데이터"가 포함되어 있을 확률은 또 과연 얼마나 될까?

도대체 이게 의미 있는 수치가 나올 만한 성질의 문제인가?

하아... 말하다 보니 하품이 절로 나온다. (잘 시간인가 보다. ㅡ,.ㅜ)

이게 과연 이런 식으로 과장 보도할 만한 "문제"일까?

또 뭘 덮으려고 이런 황당한 이슈를 부각시키는 건가?

내가 보기엔 차라리 윈도XP의 "잠재적인" 보안 위협이 훨씬, 훠얼씬, 훠어어얼~~~~~씬 더 큰 문제다. 그건 한번 발견되기만 하면 전세계 "모든 윈도XP"에서 공통적으로 취약할 수밖에 없는 문제니까. XP이기만 하면 무조건 공격 대상이 될 수 있으니까. (뭐 그래봤자 그것도 한방에 시스템을 넉다운 시키거나 관리자 권한을 확 빼앗아 가 버릴 수 있는 치명적인 버그 정도는 되어야겠지만 말이다.)

자, 과연 어느 것이 더 큰 문제일까?

내 입 아프게 떠들 것 없이, 찾아보니 이미 이런 기사도 떴다.

아래 기사 링크로 이 황당한 호들갑에 대한 잡설을 마친다.

>> 참조: http://www.zdnet.co.kr/news/news_view.asp?artice_id=20140415162852