미국 국가안보국(NSA)이 보안패치가 발표되지 않은 제로데이 취약점에 대해 애매모호한 공개 원칙을 내놓았다. 제로데이 취약점은 해커들에게는 외부 시스템에 침투하기 위한 강력한 무기로 활용돼 왔다는 점에서 문제가 될 가능성이 높다.
13일(현지시간) 미국 지디넷은 버락 오바마 대통령이 새로운 NSA 국장으로 지명한 마이클 로저스 미 해군 제독이 지난 11일 인준청문회에서 미국과 동맹국을 위해서는 취약점을 공개할 의향이 있지만 구체적으로 어떤 기준을 따르고 있는지에 대해서는 명시하지 않고 있다고 지적했다.
그동안 미국 내 주요 IT기업을 포함해 전 세계를 상대로 광범위한 사이버 도감청을 수행해 온 NSA는 기업, 일반인들의 일거수일투족을 감시하고 있다는 점에서 문제가 됐다.
NSA는 그동안 해외 정보 감시 업무를 수행하기 위해 자체적으로 취약점을 찾아내거나 보안회사들로부터 제로데이 취약점을 구매해 왔다. 지난해에는 프랑스 보안회사인 뷔펜으로부터 취약점에 대한 상세내역을 구매하기도 했다.
기존 HP가 주최하는 해킹방어대회인 캔섹웨스트 피우니움(Pwn2Own) 콘테스트 등에서는 제로데이 취약점을 발견한 보안 전문가들에게 상금을 지급하는 행사를 벌여왔다. 이렇게 공개발표된 내역들은 취약점에 대한 대비를 위해 IT기업들이나 보안회사들이 해당 내역을 구매해 자사 보안패치에 적용해 왔다.
그러나 정부기관이 제로데이 취약점을 구매한다는 것은 방어수단이라기보다는 다른 나라의 감시활동을 위한 도구로 악용될 수 있다는 점에서 문제가 될 수 있다.
실제로 NSA는 그동안 해외 정보 감시 업무를 수행하기 위해 제로데이 취약점을 발견하거나 기존에 발견된 취약점을 활용해 왔다.
현재까지는 취약점이 어떤 기준에 따라 쓰였는지는 공개되지 않았다. 다만 외신에 따르면 로저스 NSA 국장 후보는 해당 내용에 대해 미국 기업과 동맹국에는 위험을 최소화하기 위해 이 같은 내용을 공개한다고 밝혔다.
로저스 후보는 (NSA가) 내부적인 의사결정절차에 따라 해당 취약점을 다른 회사들에게 공개할지, 아니면 감시활동을 위해 비공개로 할지에 대해서 결정하고 있다며 NSA 내부에 미국과 동맹국들이 어떤 상업제품이나 시스템에 대해 발견한 제로데이 취약점을 다루기 위한 효율적이고, 성숙한 자산관리 프로세스를 갖고 있다고 말했다.
이러한 발언은 산업기반시설을 포함해 주요 컴퓨터 시스템을 보호할 책임이 있는 곳에게는 '불편한 진실'이다.
NSA가 얼마나 자주 취약점을 공개하는지는 알 수 없다. 이 기관이 밝히고 있는 기본적인 입장은 여러 제품, 시스템에 대한 취약점을 미국과 동맹국에 알린다는 것이 전부다.
관련기사
- RSA 회장 "NSA와 뒷거래 한 적 없다"2014.03.14
- 미군-NSA 삼성폰 선택…블랙베리에 치명타2014.03.14
- "앵그리버드·구글맵도 NSA의 염탐 통로"2014.03.14
- NSA게이트 후폭풍, 美 데이터센터 사용 거부 확산2014.03.14
이와 관련 로저스 후보는 제로데이 취약점을 공개하는 것은 '양날의 검'이나 다름없다고 시인했다. 제로데이 취약점을 공개하는 것은 미국 조직들을 위험에 빠뜨릴 수 있다. 그러나 이를 공개하지 않는 것은 자국과 동맹국 회사가 사이버 공격 위험에 취약하게 만들 수 있다는 설명이다.
지난 1월 버락 오바마 대통령은 새로운 NSA 국장으로 지명된 로저스 후보는 이란 해커들의 미 해군, 해병대 시스템 해킹을 효과적으로 진압한 성과를 인정 받았다.