11일 미국 IT보안교육기관 SANS(SysAdmin, Audit, Network and Security)의 인터넷 스톰 센터는(ISC) OpenSSL 보안패치를 가장해 최종 사용자에게 암호를 변경하라는 링크가 삽입된 e메일이 돌고 있다고 주의를 당부했다.

SANS측은 "진짜 OpenSSL 정규 메일에도 보안패치 링크가 게재되어 있는데 이것은 정말 '큰실수'" 라며 "이를 가장해 악성 코드를 삽입한 e메일이 급증하고 있다"고 전했다. 도움이 될 것 같은 링크 메일의 대부분은 도움이 되지 않는다며 절대로 링크를 클릭해서는 안된다는 것.

이 외에도 OpenSSL 취약점 우뮤를 확인할 수 있는 웹사이트로 가장해 악성 코드를 심어놓은 가짜 사이트의 출현도 예상되고 있으며 향후 대규모 정보 유출에 대한 가능성도 배제할 수 없다고 SANS는 지적했다.

이번 취약점은 공격을 받았다고 할지라도 로그 기록이 남지 않기에 정보 유출 여부를 확인할 수 있는 방법이 없다. 따라서 최악의 경우(비밀번호 유출)를 가정해 미리 비밀번호를 바꾸는 것도 효과적인 대책 중 하나다.

그러나 곧바로 비밀번호를 바꾸기보다는 신중히 기다려야 한다는 의견도 있다.

영국 보안 기업 소포스(Sophos)는 블로그를 통해 "서비스를 제공하는 웹사이트 업체가 취약점 대응이 완료되기 전에 이미 유출이 됐을 가능성도 생각해야 한다"며 "최종 사용자는 서비스 업체측에서 취약점 대응이 완료되고 공식발표가 끝난 뒤에 비밀번호를 바꿔도 늦지 않다"고 전했다.

제조사들 취약점 대응 나서
OpenSSL은 웹 서버와 VPN 통신을 위해 다양한 운영체제와 네트워크 장비에 사용되고 있다. 운영체제(OS), 클라우드 서비스, 네트워크 장비 중 일부는 취약한 OpenSSL을 사용하는 제품이 다수 확인되고 있어 각 제조사들은 이에 대한 대응에 나섰다.

미국 국토안보부 산하 보안대응팀 US-CERT에 따르면 현재 취약점 영향을 받고 있는 네트워크 장비 업체 및 운영체제는 VMware, 시스코, 포티넷, 주니퍼네트웍스, F5네트웍스, Aruba Networks, 워치가드테크놀로지, FreeBSD, NetBSD, 레드햇, 우분투, Android 등 국내에서도 익숙한 업체들이 다수 포함되어 있다. 

문제는 시스템 관리자는 관리중인 네트워크의 어떤 부분에서 OpenSSL 취약점이 존재하는지 즉각적으로 파악하기 어렵다고 한다. 따라서 최종 해결까지는 어느정도 시간이 걸릴 것으로 보인다.

앞서 발표된 OpenSSL 취약점은 '하트블리드(Heartbleed)'로 명명된 취약점이다. 여기서 OpenSSL은 데이터 통신을 위한 프로토콜인 SSL/TLS를 오픈소스화 한 것이다.

하트블리드는 SSL 통신중 메모리에 있는 데이터를 원격으로 읽는 취약점으로, 암호화 통신에 사용되는 비밀 키, 사용자 정보 등을 서버 프로세스 수준에서 읽어 내는 일종의 버그다.