2013년 3.20 사이버테러 이후 보안회사들을 목표로 한 공격이 꾸준히 발견되고 있는 만큼 보다 확실한 대비책이 절실해진 상황이다.
보안회사들 역시 100% 공격을 막는 것은 불가능한 만큼 공격이 발생한다고 하더라도 빠르게 관련 정보를 공유하고, 필요한 조치를 취해 피해를 최소화하는 것이 최선책이라고 강조한다. 마치 자동차 리콜 서비스처럼 적극적인 대응이 필요하다는 주장이다.
2개월 전 발생한 코드서명용 개인키 유출 사건은 '인재'였다. 회사의 온라인 인감도장 역할을 하는 코드서명용 개인키가 개발자PC에 그대로 저장돼 있었던 탓에 유출되면서 이 회사를 사칭한 악성파일이 웹에 배포됐기 때문이다.
이 과정에서 공격자들은 해당 회사가 사용하고 있는 데이터유출방지솔루션(DLP)에 대한 취약점을 찾아내기도 했다. 다행히도 DLP를 공급한 보안회사는 문제를 발견한 뒤 해당 취약점에 대해 하루만에 보안패치를 완료하고, 고객사에 알리는 등 조치를 취해 피해를 최소화할 수 있었다.
28일 서울 강남 한국과학기술회관에서 개최된 '제22회 정보통신망 정보보호 컨퍼런스(NETSEC-KR)'에서는 최근 사고에 대응했던 업계, 학계 전문가들이 모여 앞으로 대응책을 논의하는 자리를 가졌다.
코드서명용 개인키가 유출됐던 회사에 DLP솔루션을 공급했던 닉스테크의 박동훈 대표는 "코드서명 건과 DLP에서 취약점이 발견됐던 것은 별개 사안"이라며 "한국인터넷진흥원(KISA)으로부터 연락을 받고 하루만에 보안패치를 만들고, 고객사에 공문을 띄우고, 패치를 업데이트할 때까지 고객사에서 문제가 될 수 있는 네트워크 포트를 임시차단하는 등 조치를 취했다"고 밝혔다. 당시 2월25일 공지를 받은 뒤 26일 보안패치를 마련하고, 3월30일까지 고객사들 중 90% 이상에 대해 보안패치를 완료했다는 설명이다.
박 대표는 "보안솔루션이 많이 깔리는 만큼 공격자들의 타깃이 될 수 있기 때문에 중요한 것은 얼마나 적극적으로 대응하는가에 달렸다고 본다"고 강조했다.
취약점을 악용한 공격이 발생했을 때 빠르게 관련 정보를 관계기관들과 공유하고, 필요한 보안업데이트를 제공하는 것은 각종 침해사고에 대응하는 기본 원칙이다. 문제는 이러한 원칙이 제대로 지켜지기가 쉽지 않다는 점이다.
박 대표는 "긴급 보안패치를 하도록 요청하더라도 고객사 담당자들이 윗선까지 결재를 맡는 과정이 오래걸리며, 서비스 사용자들이 적은 비수기때 패치하라고 지시하는 경우도 있다"고 설명했다. 보안패치는 최대한 빠르게 적용할 수 있도록 보안회사와 고객사들 사이에 공감대를 형성할 필요가 있다는 주장이다.
보안회사 제품을 도입해 쓰고 있는 고객사 입장에서도 어려운 점이 없는 것은 아니다. 코드서명 건과 관련해 NH농협은행 남승우 최고보안책임자(CISO)는 "문제가 된 코드서명용 인증서를 폐기하고 다른 인증서를 적용하는 과정에서 인터넷뱅킹용 프로그램이 한 두개가 아니기 때문에 새로 코드서명한 프로그램을 적용하고, 테스트해서 배포하기까지 최소 보름에서 한 달까지 걸릴 수 있다"고 밝혔다. "보안적인 시급성과 프로그램의 안정성을 모두 고려해야한다는 점이 고민"이라는 설명이다.
코드서명 건에 대응했던 금융보안원 이현제 침해대응부장은 "이 이슈는 코드서명만의 문제가 아니라 정보보호업체 전반적인 관리의 문제로 봐야한다"고 강조했다. 코드서명용 인증서와 개인키가 유출된 뒤 해당 회사 내부에서 사용한 보안솔루션에 대한 취약점 등이 등장한 것과 관련해 보안회사, 금융사 간에 정보공유가 제대로 되지 않았던 점이 문제가 있었다는 것이다. 이러한 이슈가 발생했을 때 일부 회사들은 우리가 대응할 사안이 아니라며 책임을 회피하거나 해당 솔루션 회사 내부에서도 현황을 파악하지 못해 문제가 되기도 한다는 설명이다.
그는 "내부적으로 취약점 신고포상제를 활용하는 등 제품을 내놓기 전에 충분한 보안점검이 이뤄지도록 하고, 사건이 발생할 것을 대비해 비상연락망이나 대응체계를 갖춰야한다"고 주장했다.
고려대 김인석 교수도 상시적인 협의체의 중요성을 강조했다. 김 교수는 "이번 사건과 3.20 사이버테러 때와 비슷한 건으로 보는데 금융사는 물론 보안솔루션 업체들 사이에 상시적인 협의체를 운영하면서 대응할 필요가 있다"고 말했다.
이를 위해 그는 금융사에 보안솔루션을 공급하고 있는 회사들의 경우 전자금융거래법 상 전자금융보조업자로 편입시켜 금융사와 보안회사가 좀 더 긴밀한 관계를 가져가게 할 필요가 있다고 강조했다.
관련기사
- 보안업체 노린 공격 대응, 지문인증-보안토큰-망분리 주목2016.05.01
- 미래부, 코드서명 인증서 보안 가이드 배포2016.05.01
- 보안업체 노린 해킹 기승...왜?2016.05.01
- 보안업체 코드서명 정보 유출, 파장은?2016.05.01
민간에서 발생한 침해사고에 대응하고 있는 KISA의 박상환 팀장은 "모든 보안사고를 100% 막을 수는 없으나 최근 사건은 개발자 보안 의식 부재, 일부 공격자들이 취약점을 악용해 확산되면서 문제가 된 만큼 위험관리를 제대로 했다면 충분히 예방할 수 있는 것"이다고 진단했다.
이어 그는 "취약점 .정보공유는 물론 보안교육 등 관리적인 부분, 보안패치에 대한 중요성 등을 고려해 일원화된 체계로 대응해야한다"고 강조했다. KISA는 현재 보안정보공유체계인 C-TAS와 함께 취약점 포상제 등을 운영 중이다.