최악의 인터넷 보안 위협으로 불리는 하트블리드 버그의 첫 피해 사례가 공식 보고됐다.

BBC 등 주요 외신은 지난 14일 캐나다 국세청이 하트블리드 버그로 해킹을 당해 사회보장번호 900여개를 도난당했다고 보도했다. 영국에서도 150만명의 회원을 둔 대형 육아 사이트 멈스넷(Mumsnet)이 뚫렸다. 하트블리드 버그는 대부분의 웹사이트 서버가 쓰는 암호화 기술(오픈SSL)에 존재하는 결함으로 7일 핀란드 보안업체 ‘코데노미콘’ 연구진이 발견해 공개했다. 그동안 하트블리드 버그와 관련한 보안 사고의 가능성은 계속 제기됐으나 이를 이용해 개인정보가 유출된 것은 이번이 처음이다.

캐나다 국세청은 하트블리드 취약점에 노출된 사실을 확인하고 9일 온라인 세무 포털 사이트를 폐쇄했다. 하지만 해커들은 사이트 폐쇄 전 8시간 동안 하트블리드 버그를 이용해 900여개의 사회보장번호를 탈취한 것으로 드러났다. 멈스넷 설립자 저스틴 로버츠는 “이번 해킹으로 이용자의 게시글, 쪽지, 프로필 등에 타인이 접근할 수 있게 됐다”고 밝혔다.

해외에서 피해 사례가 나오면서 국내 기업과 정부도 발 빠르게 움직이고 있다. 특히 통신사 금융사 등은 올 들어 개인정보 유출 사고가 줄줄이 터진 상태여서 잔뜩 긴장하고 있다. 네이버를 비롯한 대형 포털 기업은 이미 보안 조치를 완료했다. 통신 3사도 보안 패치를 마쳤거나 진행 중이다. 대형 은행과 카드사도 발빠르게 움직이고 있다. 금융감독원 관계자는 “주요 금융사에 대해 선조치하도록 지도하고 적어도 16일까지는 보안 조치를 마치도록 했다”고 말했다. 통계청 문화체육관광부 등 주요 정부기관 홈페이지도 보안 조치를 완료한 상태다.

문제는 중소 인터넷 업체들이다. 한국인터넷진흥원(KISA)은 “인터넷 업체가 워낙 많아 사태 파악을 할 수 없는 상황”이라고 설명했다. 중소 업체들은 보안 관리자가 따로 없는 경우도 많아 보안 위협에 노출돼 있는 실정이다. 이에 따라 미래창조과학부와 KISA는 하트블리드 보안 위협에 대처하기 위해 관계 부처와 공동 대응에 나섰다.

박병종 기자 ddak@hankyung.com