대규모 보안인증서 갱신으로 인터넷 느려지는 등 불편 가중

최악의 인터넷 보안 위협으로 꼽히는 ‘하트블리드 버그’ 때문에 해킹뿐만 아니라 진짜와 구분할 수 없는 가짜 웹사이트까지 생길 수 있다는 경고가 나왔다.

또 하트블리드 버그의 취약성을 보완하기 위해 각 사이트가 보안강화에 나서면서 한동안 인터넷 속도가 느려지는 등 피해와 불편이 날로 확산될 전망이다.

웹서비스 회사인 ‘클라우드 플레어’는 지난 11일(현지시간) 해커들을 대상으로 하트블리드 버그를 이용해 웹사이트의 보안인증서를 훔칠 수 있는지 시험한 결과 하루도 지나지 않아 보안인증서가 도난당했다고 밝혔다고 미국 일간 워싱턴포스트(WP)가 15일 보도했다.

클라우드 플레어가 개최한 해킹 대회가 시작된 지 9시간 만에 해커 페도르 인두트니가 첫번째로 보안인증서 해킹에 성공했다.

그는 총 3시간을 들여 보안인증서 탈취에 성공했다며 “그냥 재미로 금요일 밤에 보안인증서 해킹에 도전했으며 중간에 영화를 보기도 했다”고 말했다.

이후에도 추가로 3명의 해커가 보안인증서를 빼냈으며, 이 가운데 벤 머피는 단 2시간 만에 성공한 것으로 알려졌다.

지금까지 불가능하다고 여겨지던 보안인증서 탈취가 가능하다는 사실이 밝혀진 것은 이번이 처음이다.

웹사이트의 진위여부를 가려주는 보안인증서가 도난당하면 가짜 웹사이트를 걸러낼 수 없어 사용자가 무방비로 위조 사이트에 노출된다.

미국의 싱크탱크 ‘애틀란틱 카운슬’의 제이슨 힐리 사이버보안 담당 연구원은 “어느 순간 모든 문이 쉽게 열린다는 사실이 밝혀졌다고 생각해 보라”며 새로운 보안 위협에 대해 설명했다.

웹사이트들이 일제히 보안을 강화하면서 인터넷 속도가 느려진다는 점도 새로운 문젯거리로 떠올랐다.

하트블리드 버그가 알려진 뒤 페이스북, 드롭박스 등 각종 웹사이트가 보안인증서를 동시다발적으로 재발급받고 있다.

지금까지는 웹사이트의 보안인증서가 잘 바뀌는 일이 없었기 때문에 손쉽게 웹사이트에 접속할 수 있었지만, 웹사이트들이 일제히 보안인증서를 갱신할 경우 한 웹페이지를 여는 데 긴 시간이 소요될 수 있다.

웹서비스 회사인 넷크래프트의 폴 머튼 보안담당은 “만약 인증기관이 인증서 1만개를 폐지하면 브라우저에서 수백 메가바이트 분량의 인증서를 새로 내려받아야 한다”며 웹페이지 하나를 여는 데 약 30분이 걸릴 수 있다고 덧붙였다.

연합뉴스