오픈SSL ‘Heartbeat’ 확장에 있는 치명적인 결함
오픈SSL은 널리 사용되는 오픈 소스 암호화 라이브러리로, 인터넷에서 민감한 데이터를 보호하는 데 사용되는 보안 소켓 계층(SSL)과 전송 계층 보안(TLS) 암호화를 지원합니다. 오픈SSL의 ‘Heartbeat’는 핑(ping)과 유사한 방식으로, 사용자의 기기와 연결된 서버 간에 작은 메시지가 주고받아 연결이 살아 있음을 확인합니다.
하지만 이 메시지의 길이를 확인하는 과정이 누락되어, 목표 시스템의 RAM에 저장된 데이터를 평문 형태로 추출할 수 있는 취약점이 존재했습니다. 이를 통해 사용자 이름, 비밀번호, 쿠키, 심지어는 비트코인 개인 키까지 노출될 수 있었습니다.
암호학자 맷 블레이즈는 이를 “보호하고자 하는 데이터를 넘어서로 유출시킨다. 그래서 [암호화]가 전혀 없을 때보다 더 위험하다”고 설명했습니다.
하트블리드 버그의 발견과 피해
이 결함은 실제로 발견되지 않은 채 2년 동안 방치되었습니다. 초기 추정에 따르면 2014년 당시 인터넷의 3분의 2가 오픈SSL을 사용하고 있었으나, 모두가 취약한 버전을 사용하고 있지는 않았습니다. 더 구체적인 계산에 따르면, 약 50만 개의 웹사이트가 영향을 받았으며, 이는 전 세계 모든 SSL 웹 서버의 약 17%에 해당했습니다. 여기에는 인스타그램, 텀블러, 구글, 드롭박스, 깃허브와 같은 주요 사이트들뿐만 아니라, 라우터, VPN, 일부 안드로이드 기기, 그리고 비트코인 관련 플랫폼들도 포함되었습니다.
이 결함을 포함한 소프트웨어를 실행 중인 사람이나 취약한 버전의 오픈SSL을 사용하는 사이트나 서비스를 방문한 사람들은 공격에 노출될 위험에 처하게 되었습니다. 실제로 이 공격이 실행되려면 사용자가 그 당시 활동 중이어야 했습니다.
비트코인 생태계의 대응
세계의 관리자들이 시스템을 패치하느라 급급했을 때, 비트코인 생태계는 자체적인 위기 대응 전략을 실행했습니다. 비트스탬프(Bitstamp)는 잠시 서비스를 중단했으며, 비트피넥스(Bitfinex)는 출금을 중단했습니다. 코인베이스와 비트페이는 시스템이 결함이 없음을 확인했습니다. 사이버 보안 연구자들과 업계 인사들은 사용자들에게 가능한 한 빨리 자격 증명을 변경할 것을 권장했으며, 다른 이들은 독자적으로 여전히 취약한 버전의 오픈SSL을 사용하는 사이트와 서비스 목록을 작성했습니다.
비트코인 코어 개발자들은 24시간 내에 긴급 패치를 적용했습니다. 비트코인 코어 소프트웨어는 오픈SSL에 의존하지 않았지만, 클라이언트의 다른 부분들은 의존하고 있었으며, 특히 “bitcoin:” 링크를 클릭하여 지불을 가능하게 했던 이제 더 이상 사용되지 않는 BIP-70 결제 요청에서 중요한 역할을 했습니다.
비트코인 관련 해킹 사례와 대응
놀랍게도 비트코인 관련 해킹으로 가장 심각했던 사례는 비트코인 대출 플랫폼 BTCJam에서 12명의 고객으로부터 28BTC($6,500 당시, $250만 현재)가 도난당한 사건이었습니다. 이 플랫폼은 빠르게 도난된 코인을 환불했습니다. 비트코인에게 더 큰 피해를 주지 않았던 이유는 2014년 당시 비트코인 생태계의 빠르고 효과적인 대응 덕분이었습니다. 비트코인 코어 개발자들은 이후 몇 년간 오픈SSL에 대한 의존성을 없앴으며, 2020년 6월까지 오픈SSL에 완전히 의존하지 않게 되었습니다.
비트코인의 가치와 안전성
우리는 모두 비트코인이 비트코인으로 뒷받침된다는 사실을 잘 알고 있습니다. 그것은 광산업자들이 프로토콜의 지속 가능성을 추구하며 소비하는 에너지 덕분에 가치를 가집니다. 그러나 비트코인의 핵심 가치는 그것의 진화와 안전에 기여한 사람들에 의해 뒷받침됩니다. 이들은 지난 15년 동안 점점 더 효율적으로 이를 수행해왔습니다. 비록 그들이 인간일지라도 말입니다.
리조의 견해, 비트코인 역사학자
비트코인 업그레이드가 언제나 막혀 있는 듯한 시대에 하트블리드 버그는 비트코인의 무모했던 과거를 떠올리게 하는 먼지 쌓인 유물처럼 보일 수 있습니다. 이는 프로젝트의 개발자들이 전통적인 소프트웨어 프로젝트들처럼 빠르게 움직였던 시절을 떠올리게 합니다. (“빠르게 움직이고 무언가를 부숴라.”)
하지만 하트블리드 버그는 비트코인 개발자들이 사용자들을 대신하여 고려해야 할 위험을 상기시키는 시대를 초월한 경고입니다. 우리는 그들의 인식을 특수한 기여자로서의 역할로 폄하하기 쉬운 경향이 있지만, 그들은 여전히 독특한 책임과 특권을 지닌 존재입니다.
저는 제임슨 롭의 “양자 복구를 허용하지 말자”는 훌륭한 새 에세이를 기억합니다. 이 에세이는 비트코인이 잠재적인 양자 컴퓨터 위협에 어떻게 대응할 수 있을지에 대해 다룹니다. 양자 컴퓨터의 등장과 그것이 비트코인 네트워크에 배치되는 것은 하트블리드 버그와 유사할 것입니다. 개발자들은 행동을 취해야 하며, 그들의 행동은 사용자뿐만 아니라 전체 네트워크에 영향을 미칠 것입니다.
롭의 작업은 질문을 더 많이 제기하지만, 비트코인이 수세기 동안 준비되었다고 주장하는 일부 대중적인 비트코인 전도자들처럼, 비트코인이 인간의 유지보수가 필요할 수 있는 시나리오가 존재할 수 있다는 중요한 경고를 제공합니다. 이는 새로운 인간 오류의 기회를 초래할 수 있습니다.
주요 뉴스 및 분석
암호화폐 및 시장 분석: 암호화폐 뉴스와 분석으로 하루를 시작하세요.
암호화폐, 거시 경제 및 정책의 교차점: 알파 정보를 바로 당신의 메일함으로.
솔라나의 모든 것.
앱, 게임, 밈 및 그 외.
비트코인, 비트코인, 비트코인.