미국 국가안보국(NSA)가 인터넷 보안 인증체계 결함인 ‘하트블리드(Heart Bleed)’를 2년 전부터 알고도 방치했고 오히려 업무에 활용했다는 일각의 의혹을 전면 부인했다고 12일(현지시간) 주요 외신이 보도했다.
바니 바인스 NSA 대변인은 이날 “NSA는 민간 사이버 보안회사가 보고서를 통해 밝히기 전까지는 하트블리드를 인지하지 못했다”고 밝혔다. 케이틀린 헤이든 백악관 국가안보회의(NSC) 대변인도 성명을 통해 “NSA나 미국의 다른 정부기관이 올해 4월 하트블리드 버그를 알고 있었다는 언론 보도는 잘못됐다”고 밝혔다.
사상 최악의 인터넷 보안 위협’으로 평가받는 하트블리드 버그는 인터넷 보안 인증 체계인 ‘오픈SSL’에서 발견된 보안 취약점으로 지난 7일 핀란드에 본사를 둔 인터넷 보안회사 코데노미콘 소속 연구진이 발견됐다.
하트블리드는 오픈SSL의 핵심 프로토콜인 ‘하트비트(Heart beat)’에 영향을 미치기 때문에 붙여진 이름이다. 전문가들은 해커들이 이 버그를 활용하면 오픈SSL을 설치한 웹서버의 메모리에 침투해 고객 이름, 암호, 금융계좌, 개인적 암호화키 등을 민감한 개인정보를 탈취할 수 있다고 지적하고 있다.
전날 블룸버그통신은 익명의 소식통을 인용해 NSA가 2012년 초 하트블리드 버그가 생성된 직후 이를 발견하고도 외부에 공개하는 대신 오히려 정보수집 활동에 활용했다고 보도했다. 통신은 또 NSA가 수백만 달러의 예산과 1000명이 넘는 인력을 투입해 오픈SSL 등 상용 소프트웨어의 보안 허점을 연구해왔다고 전했다.