무장해제된 국가 보안시스템

입력: 2010-05-24 21:20 이규화 기자

폰트

기자 구독

HWㆍSW 외산 일색… 사이버안전 외국사에 내맡긴 `꼴`
미 기관선 자체개발ㆍ구매후엔 코드 파기

국가 및 공공기관의 IT시스템이 내부 해킹과 침입에 허술하다는 지적이 제기되고 있다. 지난해 7.7 DDoS 공격과 같은 외부공격 못지 않게 시스템 구축, 유지보수와 관련해 내부 정보유출 우려도 과제로 대두하고 있다. 여기에 스마트폰 등장으로 촉발된 모바일환경으로의 급속한 전환은 내부 보안을 재점검해야 할 필요가 있다.

특히 국내 공공 네트워크 시장의 90%를 외산이 차지하고 있고 DBMS와 서버OS의 100%를 외산에 의존하고 있어 보안에 있어 벌거벗고 있다는 지적이다. 해외로 국가 정보가 유출될 우려가 높다는 것이다. 전문가들은 "스마트폰이 급격히 확산되며 네트워킹이 고도화되는 이 시점에서 국가 차원의 긴급 점검이 필요하다"고 강조한다. 불특정 해커나 외부침입에 대한 대비는 꾸준히 향상되고 있으나 내부 보안은 상대적으로 허점이 많다는 것이다.

우선, 시스템 발주와 설치 시 보안 점검을 제대로 해야 한다고 입을 모은다. 현재 국방, 보건, 교통, 가스, 전력, 수도 등 국가핵심 인프라의 하드웨어와 소프트웨어의 경우 벤더(납품기업)에 의존하는 경우가 대다수다. 설계할 때 발주기관이 참여한다고 하지만 구체적 작업은 벤더가 한다. 외산 의존율이 높은 상황에서 이는 국가와 공공 안전을 외국 벤더의 손에 맡기는 꼴이다.

만약 벤더가 하드웨어(HW)에 칩을 꽂아 놓거나 악성코드(Exploit Code)를 삽입해놓고 정보를 빼내가도 속수무책이다. 또 그동안 IT업계는 외산 소프트웨어기업들의 백도어(Backdoor)를 통한 정보유출 우려를 꾸준히 제기해왔다. SW 개발자가 심어놓는 백도어는 사용자 인증을 거치지 않고 시스템에 접근할 수 있어 언제 어디서든 정보를 빼낼 수 있기 때문이다.

미국의 경우 이를 우려해 국방성과 국토안보부의 모든 HW와 SW는 자체 개발하거나 납품을 받더라도 납품 후 코드파기를 전제로 사업을 추진하는 것으로 알려졌다. 이에 반해 우리 방위사업청은 HW/SW 구축과 구매를 사업제안서(RFP)방식을 통해 하고 있다. 2008년 도입한 주전산시스템은 썬과 IBM 등 100% 외산으로 채워졌다. 유지보수도 주로 HW납품 업체와 관련된 업체에 맡기고 있다. 방사청 김용남 전산정보관리소장은 "방사청의 사이버보안체계는 국정원과 협력 하에 완벽하게 이뤄지고 있다"고 말했다.

그러나 도입한 HW와 SW의 유지보수는 여전히 외국 벤더나 유지보수업체에 관리자 계정을 주고 의존하고 있다. 납품 후 벤더의 관련시스템과 기술의 파기를 확인하지 못하고 있는 것도 문제다. 90년대에 무기업자들이 무기수급 상황을 먼저 파악하고 국방부에 구매를 먼저 제안하는 해프닝이 벌어졌던 일은 널리 알려져 있는 사실이다. 무기업자가 이미 무기 재고를 파악하고 있다는 것이다. 전문가들은 이러한 상황은 지금도 마찬가지라고 지적한다.
문제는 이러한 상황이 일반기업도 마찬가지라는 점이다. 일반기업들도 외산 HW와 SW를 쓰는 경우가 대다수이고, 보안에 대한 경각심은 더욱 허술한 게 현실이다. 심지어 이미 2000년대 초 사무실에 켜져 있는 PC의 ID와 패스워드를 읽어내는 소형장비도 개발된 것으로 전해지고 있다. 정상회담 등 중요회의 때 이 장비만 들고 들어가면 주변 PC의 ID와 패스워드를 해킹해 가져갈 수 있다는 얘기다.

관리자계정과 보안체계가 PC와 연계된 스마트폰에 의해 유출될 우려 역시 높아지고 있다. 내부 네트워크의 보안이 완벽하다 해도 관리자의 PC와 스마트폰이 연계될 경우 해킹 경로로 이용될 수 있다. 앞으로 성능이 업그레이드된 개인정보기기가 등장하면 내부 보안체계의 와해 위협은 더욱 커질 수 있다. 관리자 PC와 개인정보기기가 연계될 경우 시스템 이중화도 소용이 없게 된다. 특히 악성코드(Bot Net)가 심겨진 스마트폰을 소지하고 시스템에 접근할 경우 일정 공간 내 모든 ID와 PW를 읽어내는 것도 가능해 경각심을 높여야 한다고 전문가들은 말한다.

IT문화원 김중태원장은 "외산 장비에 의한 국가정보 유출우려는 70년대부터 제기돼 왔다"며 "국가안보와 공공인프라 장비 및 SW는 자체 개발을 하는 것이 원칙이고 유지보수도 가능한 국내인력을 써야한다"고 말했다. 제이컴정보 조성규연구소장은 "유지보수를 벤더에 의지하는 경우가 많을 수밖에 없는 상황에서 이들의 시스템 경로를 추적할 수 있는 내부 포렌식(forensics) 프로그램을 갖춰야 한다"고 강조했다. 그러나 현재 공공ㆍ민간에 걸쳐 포렌식프로그램을 갖춘 곳은 극소수에 그치고 있다.

이규화 선임기자 david@

서울특별시 중구 새문안로22
☎ 02) 3701-5500
등록번호 : 서울 아01699
등록일자 : 2011.07.15
발행일 : 2000.03.03
발행인/편집인 : 박학용

무장해제된 국가 보안시스템

이 시간 핫클릭

핫 이슈!