보안업체 노린 해킹 기승...왜?

최근 보안회사가 자사 보안솔루션을 웹에 배포하기 위해 사용되는 온라인 인감도장 역할을 하는 코드서명용 개인키가 유출되는가 하면 피해를 입은 회사가 쓰고 있었던 또 다른 보안 솔루션까지 공격에 노출되는 상황이 벌어졌다. 또 다른 보안회사는 내부 전산망까지 장악당했다는 얘기까지 나오는 실정이다.

한국인터넷진흥원(KISA) 관계자는 "보안회사들을 노린 공격수위가 예전보다 올라갔다고 보기는 힘들지만 물밑에서 작업했던 것들이 수면 위로 올라오고 있는 것은 분명해 보인다"고 밝혔다. 공격자들이 악성코드를 유포하기 위한 작업이나 이를 막기위한 대응조치는 일상적인 일이지만 최근 들어 이러한 내용들이 공개되는 사례가 늘어났다는 설명이다.

고객사의 보안을 지키는 역할을 해야하는 보안회사들이 왜 공격에 노출되고 있는 것일까. 보안전문가들은 2014년 발생한 3.20 사이버테러를 떠올린다. 당시 안랩, 하우리 등이 보안업데이트를 위해 제공하는 패치관리시스템(PMS)이 악성코드를 배포하는 통로 중 하나로 악용됐다.

대규모 피해를 입히거나 쉽게 접근하기 어려운 기업, 기관 내부 시스템에 접근하려는 공격자들에게 보안회사가 해당 기업, 기관들에게 공급하고 있는 솔루션은 뚫기는 어렵지만 한번 뚫어 놓으면 언제든 사이버테러 수준의 위협을 가하거나 기밀을 빼낼 수 있는 강력한 무기가 된다.

최근 국가정보원이 이례적으로 발표한 내용에 따르면 북한 해킹 조직이 우리나라 국민 2천만명 이상이 인터넷뱅킹, 인터넷 카드 결제에 사용되는 보안솔루션 제작업체의 내부 전산망에 침투, 전산망을 장악하기까지 한 것으로 확인됐다. 코드서명에 필요한 개인키가 유출돼 공격자가 인터넷 상에 해당 회사 이름으로 전자서명된 악성파일이 유포된 것도 북한 해킹 조직의 소행이라는 설명이다.

다행히 현재로서는 보안업체들이 공격을 받았던 사실이 알려지면서 초기에 대응이 이뤄졌다. 그러나 또 다시 이런 사건이 발생하지 않을 것이라고 보장하기도 힘든 상황이다.

■보안회사, 내부 관행 개선해야

최근 드러난 보안회사들을 노린 공격이 보안회사들만의 문제라고 보기는 어렵다. 윈도 운영체제(OS), 인터넷익스플로러, 어도비 플래시, MS워드, 한컴오피스 등 많이 사용되는 제품일수록 공격에 노출될 가능성이 높은 탓이다.

문제는 더욱 각별히 보안에 신경을 써야하는 보안회사들이 제공하는 솔루션들이 오히려 가장 유용한 사이버무기가 될 수도 있다는 점이다.

국내 보안업계관계자는 "보안제품들 중에 시큐어코딩도 제대로 안 된 것들도 있다"며 "보안제품이니 당연히 안전하겠지라는 생각을 버려야한다"고 밝혔다. 실제로 국내서 개발된 보안솔루션을 포함한 소프트웨어들 상당수가 개발단계에서부터 취약점을 점검해 문제가 없도록 하는 시큐어코딩 수준으로 안전하게 보안제품을 개발, 공급하는지에 대해서는 아직 알려진 내용이 없다.

보안회사의 인감도장 역할을 하는 코드서명용 개인키 유출 사건 역시 그동안 편의를 위해 개발자들이 쓰는 PC, 노트북에 해당 키를 무방비로 저장해서 써왔다는 점이 문제로 지적됐다. 코드서명은 웹사이트에서 특정 프로그램을 설치할 때 이 프로그램을 제공하는 곳이 실제 그 회사가 맞는지를 알려주기 위해 사용된다. 개인키가 유출됐다는 것은 그 회사 인감도장을 찍어 공문서를 위조하는 것이나 마찬가지로 그 회사 이름으로 악성파일을 유포할 수 있게 된다는 뜻이다. 최근 문제가 된 회사는 기존 개인키를 사용하는 인증서를 폐기하고, 고객사에도 새로운 보안모듈을 배포했다.

기본적으로 개인키는 PC, 노트북 외 보안토큰(HSM)과 같은 별도 매체에 저장하거나 회사의 경우 중앙관리서버에서만 개인키를 내릴 수 있도록 정책을 취해야하나 개발자 편의를 위해 그렇게 하지 않는 경우가 많은 실정이다.

해당 사건과 관련없는 보안회사 관계자는 "웬만한 보안회사를 포함한 소프트웨어 개발사들이 비슷한 문제를 안고 있다"고 밝혔다.

■보안 둘러싼 구조적인 문제도 한 몫

시야를 넓혀 구조적인 문제로 보면 보안제품에 대해 충분히 안전성을 점검할 수 있을만한 여건을 마련해 주는 것도 중요한 일이다. 또 다른 보안업계 관계자는 "보안회사가 개발, 공급하는 보안솔루션들에 대한 무결성을 보장할 수 있는 충분한 시간을 갖지 못하고 있는 것이 현실"이라고 지적했다.

초기에는 보안솔루션에 대한 CC인증, 암호모듈검증(CMVP), GS인증 등을 받는다고 하더라도 제품을 업데이트할 때마다 발견되는 취약점들에 대해 제대로 대응이 이뤄지고 있지 못하다는 설명이다. 제품이 변경될 때마다 일일이 검증을 받기에는 생산성이 떨어진다는 문제가 발생하는 것이다.

보안회사에게 안전한 보안솔루션을 개발해야할 책임이 있는 것은 누구도 부인할 수 없는 사실이다. 최근 발생한 여러 사건들도 보안회사들이 관리허술로 벌어진 일이라는 점은 분명하다.

그러나 보안회사들만의 책임이라고 떠넘기기에는 구조적인 문제도 크다. 여전히 보안회사 입장에서는 1억원 수준의 보안솔루션 구축 사업을 3천만원 수준으로 끝내고, 5년 간 무상으로 제품에 대한 유지보수를 책임져달라는 식의 계약이 이뤄지고 있는 탓이다.

보안솔루션을 도입한 기업, 기관들도 외부에 보안컨설팅을 의뢰해서 나온 보안취약점들 중 보안솔루션을 포함해 외주업체를 통해 도입한 솔루션에 대한 취약점에 대해서는 시간과 비용이 든다는 이유로 문제가 없는 것처럼 덮고 넘어가는 경우도 심심치 않게 목격된다.

이런 구조적 문제를 해결하기 위해 미래창조과학부는 지난해 말부터 정보보호산업의 진흥에 관한 법률(정보보보산업법)을 제정해 시행했다. 핵심사항은 보안솔루션의 특성 상 한번 설치하는 것으로 끝나는 것이 아니라 새로운 취약점에 대응하기 위해 수행하는 상시적인 보안업데이트, 보안서비스 등에 대해서도 적절한 대가를 지급하도록 한다는 내용이다. 기업들의 자발적인 정보보호 투자를 유도하기 위한 정보보호 준비도 평가, 기업들이 정보보호 관련 투자 현황을 공개해 인센티브를 받도록 하는 정보보호 공시제도 등도 함께 운영된다.