“한번 구축하면 끝”7년전 보안시스템 아직도 그대로 사용
■구멍 뚫린 국가정보보호 체계
(1) 7년전 보안시스템 쓴 아이핀
공공기관이나 민간기업이 '심혈'을 기울였다는 정보보호 시스템을 뜯어보면 한마디로 누더기다. 특정 보안 사고가 발생했을 때 유행처럼 관련 시스템, 솔루션을 사서 구비 해 놓고 방치하기 일쑤였기 때문이다. 보안 시스템은 구매보다 실시간 발생하는 보안 공격에 대한 업데이트 및 유지관리가 훨씬 중요하지만 수요처는 '구매' 이후로는 정보보호 활동을 중단한다. 잊을 만 하면 한 번씩 터지는 대형 보안 사고 이면에는 이 부분이 숨겨져 있다. 디지털타임스는 정보보호의 핵심이면서도 국내에서 철저히 외면받고 있는 '보안성 유지'에 대해 5회에 걸쳐 집중적으로 다뤄본다.
지난 2월28일 자정부터 3월2일 오전 9시까지 공공아이핀 75만건이 대량으로 발급됐다. 7년간 공공아이핀 전체 가입자가 430만명에 불과한데, 20%에 해당하는 신규 발급이 주말 3일 새 이뤄진 것이다. 사태를 파악해보니 해커가 지역정보개발원이 운영하는 공공아이핀 발급시스템의 '취약점'을 악용, 인증정보를 변조한 뒤 본인확인 절차 없이도 아이핀을 발급받을 수 있도록 조작해 이뤄진 일이었다. 인증정보를 변조하는 '파라미터 위변조' 취약점은 사건 발생 이후 행정자치부와 지역정보개발원이 즉시 복구했다. 오윤탁 지역정보개발원 공공아이핀 총괄 책임은 이번 사고와 관련해 "파라미터 위변조를 감지하는 기술은 2015년 기준으로 보면 마땅히 구현되어야 하는 기술이지만, 공공아이핀시스템은 2007년 개발돼 (해당 기술을 구현하지) 못했다"고 말했다.
파라미터 위변조 방지기술이라는 것이 한번 시스템이 만들어지면 다시 추가하기는 어려운 기술이어서 지역정보개발원은 하지 못한 것일까. 업계 전문가들은 '그렇지 않다'고 말한다. 익명을 요구한 보안 전문가는 "파라미터 위변조 탐지 및 방지 기술은 민간 아이핀 시스템에는 이미 적용돼 있다"며 "시스템이 개발된 이후 추가로 구현된 기능"이라고 설명했다. 지역정보개발원은 공공아이핀 시스템 개발 이후 매년 의례적으로 하는 취약점 점검, 보안 점검은 받았지만 시스템 정상 운영에 대한 유지 관리만 했을 뿐, 2007년 시스템 구축 이후 하루가 다르게 교묘해져가는 해킹 수법이나 보안 공격에 대응하는 추가 기술 개발 및 투자는 하지 않았다. 75만건의 부정발급 사태는 그 결과로 일어난 셈이다.
보안 전문가는 "공공아이핀 부정발급 사태는 7년 전 구축한 보안 시스템을 안일하게 사용하다 변종 해킹에 당한 전형적인 사례"라면서 "국내 대다수 보안 수요처들은 보안시스템을 구축하거나 관련 솔루션을 구매한 후 '보안대비를 다 했다'는 안일한 생각으로 제대로 된 '보안성 유지'를 하지 않고 있다"고 꼬집었다.
실제로 본지가 조사한 바에 따르면, 전국 초중고등학교 등 교육기관은 교육부 방침에 따라 학생 개인정보 및 학사정보를 보호하기 위한 방화벽, 무선보안인증, 이메일 보안 등 다양한 보안제품을 구축해 사용하고 있지만 보안제품 '설치' 후 유지관리는 전혀 하지 않고 있는 것으로 나타났다. 국민의 신상정보와 재산 등 민감한 모든 행정정보를 관리하는 지방자치단체들은 상황이 더 심각하다. 현재 지자체의 경우 행정자치부에서 매년 '보안장비 통합구매' 방식으로 보안제품을 일괄 구매한 후 각급 지자체로 내려보낸다. 구매는 최저가 입찰로 이뤄지며 구매 이후 사후관리는 사실상 이뤄지지 않고 있는 것으로 나타났다. ▶본지 2월26일자 참조
보안업계는 '보안성 유지'를 하는 수요처 자체가 사실상 전무하다고 입을 모은다. 혹시 보안성 유지를 받는다 하더라도 일반 하드웨어나 소프트웨어 하자보수 정도 수준의 비용만 지불하고 있으며 제대로 된 보안 업데이트나 업그레이드를 하지 않고 있다는 것이다.
심종헌 지식정보보안산업협회장은 "일반 IT 제품과 달리, 정보보호 제품은 상시 발생하는 바이러스, 웜 등 보안 위협에 대비해 주기적인 보안업데이트가 필요하다"면서 "지난 2014년 상반기에만 8000여건의 해킹과 46만건의 악성코드가 발생하고 있는데 이를 수시로 방어할 수 있는 정보보호 제품 업데이트와 유지관리가 이뤄지지 않으면 구축해 놓은 정보보호 제품은 제 기능을 발휘할 수가 없다"고 강조했다.
강은성기자 esther@dt.co.kr
■구멍 뚫린 국가정보보호 체계
(1) 7년전 보안시스템 쓴 아이핀
공공기관이나 민간기업이 '심혈'을 기울였다는 정보보호 시스템을 뜯어보면 한마디로 누더기다. 특정 보안 사고가 발생했을 때 유행처럼 관련 시스템, 솔루션을 사서 구비 해 놓고 방치하기 일쑤였기 때문이다. 보안 시스템은 구매보다 실시간 발생하는 보안 공격에 대한 업데이트 및 유지관리가 훨씬 중요하지만 수요처는 '구매' 이후로는 정보보호 활동을 중단한다. 잊을 만 하면 한 번씩 터지는 대형 보안 사고 이면에는 이 부분이 숨겨져 있다. 디지털타임스는 정보보호의 핵심이면서도 국내에서 철저히 외면받고 있는 '보안성 유지'에 대해 5회에 걸쳐 집중적으로 다뤄본다.
지난 2월28일 자정부터 3월2일 오전 9시까지 공공아이핀 75만건이 대량으로 발급됐다. 7년간 공공아이핀 전체 가입자가 430만명에 불과한데, 20%에 해당하는 신규 발급이 주말 3일 새 이뤄진 것이다. 사태를 파악해보니 해커가 지역정보개발원이 운영하는 공공아이핀 발급시스템의 '취약점'을 악용, 인증정보를 변조한 뒤 본인확인 절차 없이도 아이핀을 발급받을 수 있도록 조작해 이뤄진 일이었다. 인증정보를 변조하는 '파라미터 위변조' 취약점은 사건 발생 이후 행정자치부와 지역정보개발원이 즉시 복구했다. 오윤탁 지역정보개발원 공공아이핀 총괄 책임은 이번 사고와 관련해 "파라미터 위변조를 감지하는 기술은 2015년 기준으로 보면 마땅히 구현되어야 하는 기술이지만, 공공아이핀시스템은 2007년 개발돼 (해당 기술을 구현하지) 못했다"고 말했다.
파라미터 위변조 방지기술이라는 것이 한번 시스템이 만들어지면 다시 추가하기는 어려운 기술이어서 지역정보개발원은 하지 못한 것일까. 업계 전문가들은 '그렇지 않다'고 말한다. 익명을 요구한 보안 전문가는 "파라미터 위변조 탐지 및 방지 기술은 민간 아이핀 시스템에는 이미 적용돼 있다"며 "시스템이 개발된 이후 추가로 구현된 기능"이라고 설명했다. 지역정보개발원은 공공아이핀 시스템 개발 이후 매년 의례적으로 하는 취약점 점검, 보안 점검은 받았지만 시스템 정상 운영에 대한 유지 관리만 했을 뿐, 2007년 시스템 구축 이후 하루가 다르게 교묘해져가는 해킹 수법이나 보안 공격에 대응하는 추가 기술 개발 및 투자는 하지 않았다. 75만건의 부정발급 사태는 그 결과로 일어난 셈이다.
보안 전문가는 "공공아이핀 부정발급 사태는 7년 전 구축한 보안 시스템을 안일하게 사용하다 변종 해킹에 당한 전형적인 사례"라면서 "국내 대다수 보안 수요처들은 보안시스템을 구축하거나 관련 솔루션을 구매한 후 '보안대비를 다 했다'는 안일한 생각으로 제대로 된 '보안성 유지'를 하지 않고 있다"고 꼬집었다.
실제로 본지가 조사한 바에 따르면, 전국 초중고등학교 등 교육기관은 교육부 방침에 따라 학생 개인정보 및 학사정보를 보호하기 위한 방화벽, 무선보안인증, 이메일 보안 등 다양한 보안제품을 구축해 사용하고 있지만 보안제품 '설치' 후 유지관리는 전혀 하지 않고 있는 것으로 나타났다. 국민의 신상정보와 재산 등 민감한 모든 행정정보를 관리하는 지방자치단체들은 상황이 더 심각하다. 현재 지자체의 경우 행정자치부에서 매년 '보안장비 통합구매' 방식으로 보안제품을 일괄 구매한 후 각급 지자체로 내려보낸다. 구매는 최저가 입찰로 이뤄지며 구매 이후 사후관리는 사실상 이뤄지지 않고 있는 것으로 나타났다. ▶본지 2월26일자 참조
보안업계는 '보안성 유지'를 하는 수요처 자체가 사실상 전무하다고 입을 모은다. 혹시 보안성 유지를 받는다 하더라도 일반 하드웨어나 소프트웨어 하자보수 정도 수준의 비용만 지불하고 있으며 제대로 된 보안 업데이트나 업그레이드를 하지 않고 있다는 것이다.
심종헌 지식정보보안산업협회장은 "일반 IT 제품과 달리, 정보보호 제품은 상시 발생하는 바이러스, 웜 등 보안 위협에 대비해 주기적인 보안업데이트가 필요하다"면서 "지난 2014년 상반기에만 8000여건의 해킹과 46만건의 악성코드가 발생하고 있는데 이를 수시로 방어할 수 있는 정보보호 제품 업데이트와 유지관리가 이뤄지지 않으면 구축해 놓은 정보보호 제품은 제 기능을 발휘할 수가 없다"고 강조했다.
강은성기자 esther@dt.co.kr
[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]
실시간 주요뉴스
![[기획] 팩트시트 ‘깜깜’… 車, 하루 400억 날린다](https://wimg.dt.co.kr/news/cms/2025/11/11/news-p.v1.20251111.962c19535f8244b986dfadd7dc97b8ce_R.jpg)
![[기획] 하루 200p 널뛰기… ‘예측 불가’ 코스피에 개미는 ‘살얼음판’](https://wimg.dt.co.kr/news/cms/2025/11/11/news-p.v1.20251111.5b6495210a4f43339648d5c33b35018a_R.jpg)
기사 추천
- 추천해요 0
- 좋아요 0
- 감동이에요 0
- 화나요 0
- 슬퍼요 0