북미주에서는 허트블리드벅(Heartbleed bug)이 적지 않은 피해를 주고 있습니다. 9일 캐나다 국세청의 온라인 서비스가 중단된 상태입니다.
허트블리드벅은 오픈SSL이라고 부르는 웹서버에서 암호화 송수신을 돕는 무른모(application)의 문제점을 말합니다. 문제는 이 허트블리드벅이 생긴지 2년 만에 발견됐다는 점입니다.
예컨데, 한 1만개에서 많으면 4000만개 개인의 금고가 보관된 대형 창고(웹서버)에 개구멍이 2년 전에 뚫려서, 그 구멍을 통해 도둑들이 들락날락한 것이죠. 각 개인의 금고 번호와 주인의 신상착의가 적혀있는 서류마저 창고에서 도둑들에게 도난 당해 운이 없으면 내 금고가 털릴 수도 있는 상황입니다.
서버 차원에서 대응은 구멍을 막는 것이고, 오픈SSL을 쓰는 서버 관리자는 대부분 이번 판올림을 통해 구멍을 막았을 겁니다. - 이런 점을 보면 판올림의 중요성을 다시 한 번 느낄 수 있네요. 남은 문제는 이미 누출된 개인의 금고번호(암호)와 신상착의(개인정보)입니다. 해커들이 주인인양 가장해 창고에 들어와서, 당당히 비밀번호를 누르고 안에 있는 내용을 털어갈 수도 있습니다. 당장 그 일이 벌어지지 않아도 도둑이 수천만 건의 이런 저런 개인 자료 뒤지다가 그날은 어쩐지 재수없게 내 자료를 집으면 털리는 것입니다.
따라서 오픈SSL로 사용자 인증을 하는 업체 이용자들은 최소한 접속 암호를 바꾸는 것이 최상책입니다. 특히 야후가 뚫렸다는 혐의도 제기돼 난리가 난 상태죠. 이메일이 뚫리면, 그 이메일로 신원 인증을 한 웹사이트들이 주르륵~ 연속으로 뚫리기 쉬우니까요.
문제가 생긴 것은 우리집(내 맥이나 PC)이 아니라 자주 찾아가는 창고이므로, 맥이나 리눅스를 써도 윈도 사용자와 마찬가지로 당할 수 있습니다.
한국에서는 오픈SSL을 얼마나 쓰는 지는 모르겠습니다만, 북미에 거주하거나 한국에 살면서 해외 직구를 많이 하셨다면, 오픈SSL로 사용자 인증을 하는 웹사이트들의 암호를 바꾸는 작업은 일단 필수겠습니다.
[추가]
현재까지 위험할 수 있다고 알려진 웹사이트는: yahoo.com, github.com. flickr.com 등등입니다.
아래 라스트패스 블로그에서 보실 수 있습니다.
[추가2]
tistory.com도 약점이 있을 수 있다고 나옵니다.
원패스워드로 비밀번호 바꾸기
맥 사용자라면 1Password (유료) 의 비밀번호 생성기 기능을 쓰면 수월합니다.
웹에서 개인 정보를 고치는 페이지에 들어가 비밀번호 생성기를 누른 후, 채우기를 누르면 새 번호가 자동 입력됩니다.
이후 웹에서 저장을 택하면 아래처럼 새로 고치겠느냐고 물어옵니다. [업데이트] 단추를 눌러주면 됩니다.
[!] 주의, 일부 사이트에서는 이전 암호 입력난에 새 암호를 입력하는 경우가 종종 발생합니다. 이전 암호로 고쳐 주면 정상작동합니다.
'기술담소' 카테고리의 다른 글
쉬운 맥 이야기③ … “경고1, 맥으로 원하는 일을 못할 수도 있다" (0) | 2016.05.10 |
---|---|
쉬운 맥 이야기②… "맥은 비싸지만 괜찮다" (0) | 2016.05.09 |
쉬운 맥 이야기①… "맥은 PC와 다르다" (0) | 2016.05.08 |
윈도XP 문제? 한국의 갈라파고스 증후군이 문제 (0) | 2014.04.09 |
공인 인증서 없어진다고 천송이 코트 팔 수 있을까? (0) | 2014.04.01 |