OpenSSL이라는 굉장히 널리 쓰이는(apache, nginx, 기타등등) 보안 프로그램에서 Heartbleed라는 취약점이 공개됐는데 이 취약점을 이용하면 서버측 힙 메모리를 64KB씩 읽어올 수 있다.
이를 이용해 서비스 유저 데이터를 읽어오거나 운이 좋은 경우 비밀키까지 알아낼 수도 있다.
비밀키가 뚫리는 경우 HTTPS로 암호화 해서 전송되는 데이터를 해커가 다 열어볼 수 있다. (비밀번호, 신용카드 정보 등)
2년 전 정도부터 존재했던 취약점이고, 특별한 증거를 남기지 않아 뚫렸는지 아닌지 이미 나쁜 해커들에게 악용되고 있었는지 여부도 불분명하다고 한다.
http://filippo.io/Heartbleed/
이런 사이트들에서 취약점 패치가 됐는지 아닌지를 테스트 할 수 있고, 현재 패치된 상태더라도 이전에 이미 비밀키가 털렸다면 키를 바꾸기 전까지는 위험하다.
어디가 어떻게 됐을지 모르니 쓰던 비밀번호도 다 바꾸고, 정상화 될 때까지 완전하게 신뢰할 수 있는 사이트가 아니라면 최대한 접속을 자제하는 편이 좋을 것으로 보인다.
참고한 링크
http://heartbleed.com/
http://a4.aurynj.net/post/82075898166/heartbleed