미 국가안보국(NSA)이 인터넷 암호화 프로그램 ‘오픈SSL’의 치명적 결함인 ‘하트블리드(Heartbleed)’를 최소한 2년전에 이미 알고 있었음에도 불구하고 이를 은폐하고 정보수집에 활용했다는 보도가 나왔다.
NSA는 이 같은 보도 내용을 공식 부인했다.
12일(현지 시간) 블룸버그는 최소한 2년전 NSA가 하트블리드 버그를 인지했으나 이를 비밀에 부친채 정보 수집을 위해 활용했다고 보도했다.
하트블리드는 전세계 웹사이트 3분의 2에 영향을 주는 치명적 결함을 갖고 있는 것으로 파악됐다. 하지만 오히려 NSA는 하트블리드 버그를 활용해 인터넷 사용자의 암호나 기본적인 데이터를 수집했다는 것.
NSA가 버그 사실을 비밀에 부치면서 수백만 사용자들이 NSA는 물론이고 다른 국가의 보안기관이나 해커들로 부터도 개인정보가 노출될 수 밖에 없었다는 게 블룸버그의 보도 내용이다.
보안 전문가들은 소프트웨어 결함을 찾는 것도 NSA의 중요한 임무 중 하나라고 말한다. NSA 등 정보보안 기구들은 컴퓨터 데이터의 외부 탈취를 막기 위해 수백만달러의 정부 예산을 들여 소프트웨어 결함을 찾는 데 애쓰고 있다.
오픈SSL의 소프트웨어 버그인 ‘하트블리드’ 역시 NSA가 사전에 인지하고 공개했어야만 한다. 현재 NSA는 1000여명 이상의 소프트웨어 전문가를 소프트웨어 결함을 찾는데 투입하고 있는 것으로 알려졌다.
특히 에드워드 스노든의 폭로 이후 NSA 활동을 조사한 대통령위원회는 NSA측에 소프트웨어 취약성을 축적하는 것을 중단하라고 권고한 바 있다. 이는 소프트웨어 결함을 NSA 활동에 활용하려는 것에 제동을 걸고 인터넷의 안정성을 한층 더 높이겠다는 의도다.
하지만 NSA는 이 같은 보도 내용을 전면 부인했다. 캐이틀린 헤이든 NSA 대변인은 공식 발표한 성명에서 “오픈SSL의 버그가 보도되기 이전까지 NSA와 보안 관련 연방 산하기관들은 이 같은 사실을 전혀 인지하지못했다”고 밝혔다.
또 “미 행정부는 인터넷의 개방성, 상호운용성, 보안성,신뢰성을 유지하는데 막중한 책임을 갖고 있으며 이번 버그를 사전에 인지했다면 당연히 NSA와 행정부가 오픈SSL 커뮤니티에 공개했을 것”이라고 밝혔다.
장길수 전문위원