미 국가안보국(NSA)이 또 다시 도마에 올랐다. 이번에는 전 세계 사이버보안 위협의 원흉으로 지목되면서다. 스노든 사태 이후 또 다시 터진 이번 하트블리드 버그로 NSA는 또 한번 도덕성에 치명상을 입게 됐다.
14일 미국 블룸버그통신과 영국 BBC방송 등 주요 외신은 NSA가 최소 지난 2년간 사상 최악의 인터넷보안 결함으로 불리는 ‘하트블리드’ 버그를 인지하고 있었고, 이를 정보수집에 활용했다고 밝혔다. NSA와 백악관은 이를 부인했다.
내부 관계자의 말을 인용한 이들 보도에 따르면 NSA는 지난 2012년 하트블리드에 의한 오픈SSL의 치명적 결함을 처음 확인했다. 하지만 NSA는 이를 일반에 공표하지 않은 채, 내부 연구자료로만 썼다. 특히 이를 이용해 원하는 정보를 빼내는데 활용해 왔다.
NSA는 1000명이 넘는 전문요원을 동원, 한해 수백만달러의 예산을 집행해가며 전 세계 네트워크의 각종 사이버 결함을 파악한다. 특히 오픈SSL 같은 오픈소스 프로토콜은 NSA의 주요 관심사다. 이번에 민간업체가 처음으로 찾아낸 하트블리드를 NSA가 모를리 없으며, 몰랐다면 직무유기에 해당한다는 게 전문가들의 지적이다.
제임스 루이스 국제전략문제연구소 사이버보안 수석연구원은 “단순 인지 여부를 논하는 단계가 아니라, NSA는 하트블리드를 다른 나라나 정보기관들은 어떻게 취급하나 지켜보고 있는 수준”이라고 말했다.
할리 제일거 민주주의 및 기술센터 수석자문역은 “NSA가 알고 있다면, 이미 다른 나라나 일부 범죄집단도 이를 악용했거나 할 우려가 크다”고 말했다.
사태가 악화되자 미 행정부는 전과 달리 발빠른 진화에 나섰다. 바니 바인스 NSA 대변인은 “민간 사이버보안 회사가 보고서를 통해 밝히기 전까지 몰랐다”고 말했다. 백악관까지 나서 별도 성명을 통해 “NSA나 미국의 다른 정부기관이 하트블리드 버그를 알고 있었다는 언론 보도는 오보”라고 밝혔다.
▲용어설명: 하트블리드(Heartbleed) 버그
인터넷 보안 인증 체계인 ‘오픈SSL’에서 발견된 보안 허점(flaw)이다. 지구상 웹사이트의 70%가량이 이 버그에 노출돼 있을 만큼 ‘사상 최악의 인터넷 보안 위협’으로 평가받는다. 핀란드의 민간 인터넷 보안업체인 ‘코데노미콘’ 연구진에 의해 지난 7일(현지 시각) 처음 발견됐다. 오픈SSL의 핵심 프로토콜인 ‘하트비트(Heart beat)’에 치명적 영향을 미치기 때문에 하트블리드로 명명됐다. 이 버그를 활용하면 특정 버전의 오픈SSL을 설치한 웹서버의 메모리에 침투, 고객 이름과 암호, 금융계좌, 암호화키 등 각종 개인 정보를 탈취할 수 있다. 발견 이틀 뒤인 지난 9일 캐나다 전자세금 납부사이트가 이 버그에 의한 감염 우려로 전격 폐쇄되기도 했다.
류경동기자 ninano@etnews.com
