암호화 라이브러리 오픈SSL에서 발견된 취약점 '하트블리드'로 인한 위협이 아직도 여전하다. 특히 보안에 제대로 신경쓰지 않는 중소 웹사이트들이 하트블리드에 취약한 상태로 운영되고 있다는 지적이다.
22일(현지시간) 테크크런치에 따르면 보안회사 이라터는 하트블리드 취약점이 처음 공개됐을 때 전 세계 웹서버를 스캔해 본 결과 60만대 서버에 취약점이 존재한다는 사실이 확인됐다. 한 달만에 해당 취약점이 존재하는 서버는 절반 수준인 31만8천239대로 줄어들었다.
문제는 그로부터 다시 한 달 뒤 취약한 웹서버는 30만9천197대로 전달과 비교해 거의 차이가 없다는 점이다. 기존보다 약 3%만 취약점에 대한 패치를 한 셈이다.
테크크런치는 전 세계에서 가장 유명한 톱1000 웹사이트는 더이상 취약하지 않은 것으로 보이나 더 작은 웹사이트들은 여전히 위험에 처해있다고 설명했다.
더구나 제2의 하트블리드라고 불리는 보안취약점이 등장하고 있는 것도 문제다. 안드로이드 스마트폰으로 무선랜에 접속할 때 정보를 빼내는 '큐피드' 취약점, 리눅스 운영체제(OS)에 사용되는 암호화 통신 기술인 '그누TLS'에 대한 취약점 등이 발견된 바 있다.
관련기사
- 구글 '하트블리드' 대비책 '보링SSL' 공개2014.06.23
- 끝나지 않은 하트블리드 공포…유사 취약점 발견2014.06.23
- 라드웨어, 하트블리드 대응 보안기능 강화2014.06.23
- 하트블리드 취약점 2년전 첫 제보자 인터뷰2014.06.23
사용자 입장에서 최선책은 보안습관을 엄격하게 적용하는 것이다. 하트블리드에 대한 패치가 이뤄지지 않은 것으로 의심되는 오래됐거나 유지관리가 이뤄지지 않고 있는 웹사이트에 접속하지 않는 것이 상책이다.
또한 모든 웹사이트에서 다른 비밀번호를 사용하는 것도 극단이 처방책이다. 만약 오랫동안 사용하지 않은 포럼 사이트에서 사용자 계정에 대한 비밀번호가 노출될 수 있어 특히 주의가 필요하다.
