[포럼] ‘보안 인프라’ 아직 갈 길 멀다

우리의 일상생활이 보안 업체가 제공하는 많은 보안 서비스에 의존하고 있다. 보안 서비스는 다른 정보통신 서비스의 안전한 제공을 위한 보안 인프라 역할을 수행하고 있다. 대표적으로 백신 프로그램과 웹상에서 안전한 통신 채널을 구축하기 위한 디지털 인증서 등이다. 많은 국내 보안 서비스나 인프라가 보안 업체에 의해 주로 제공되거나 운영되고 있다.

며칠 전 국내 보안 솔루션 업체의 코드사인된 서명문이 해킹된 것으로 알려졌다. 이 코드사인 서명문을 생성한 인증서를 이용해 프로그램을 다운받은 금융기관, 공공기관, 기업 등의 고객 정보시스템이 심각한 보안 위협에 직면할 수 있는 상황이다. 코드사인 인증서는 웹을 통해 다운로드된 프로그램이 위변조 없이 무결하게 특정 업체에서 왔다는 것을 보증해주는 수단이다.

이러한 인프라 공격 사례는 이번이 처음이 아니다. 2011년 7월에는 국내 유명 인터넷 포털 사이트 해킹으로 인한 대규모 개인정보 유출 시에 국내 보안 업체의 업데이트 서버가 이용되어 피해 기관의 내부 관리자 컴퓨터에 악성코드를 감염한 적이 있다. 2013년 3월에도 국내 보안 업체 패치 관리시스템의 취약성을 이용해 금융 및 방송기관인 피해 기관의 내부 정보시스템에 악성코드를 감염시키고 다시 감염된 악성코드가 이용자 컴퓨터의 하드디스크를 파괴하게 만드는 보안 사고가 발생했다. 이로 인해 피해 기관의 정상 업무가 한동안 마비시켰다.

이러한 보안 서비스·인프라에 대한 취약성 발생과 공격은 우리나라만의 문제는 아니다. 2014년 RSA 콘퍼런스에서 세계적인 암호학자인 아디 사미르 교수는 보안 인프라·서비스가 공격당한 두 가지 사례를 들었다. 하나는 2013년 1월에 터키 인증기관이 부주의로 구글을 가장할 수 있는 SSL 인증서를 발급해주는 보안 사고이고, 다른 하나는 2013년 2월에는 '비트나인'이라는 네트워크 보안 업체의 취약성이 존재해 코드사인 인증서가 악성코드를 서명하는데 이용된 사고다. 취약성의 발생 원인은 외주 협력업체에서 제공한 소프트웨어 코드를 이용한데에 있었다고 밝혔다. 또한 미국 스탠포드 대학의 댄 보네 교수는 많은 모바일 금융 서비스를 제공하는 어플리케이션에 부실한 인증서 관리 구현으로 인해 많은 보안 취약성이 존재하고 있고, 이러한 취약점은 해커들의 공격 목표가 될 가능성이 크다고 있다고 주장했다.

최근 국가가 지원하는 사이버 공격이 증대되고 있다. 이제 많은 자원과 능력을 집중적으로 투입할 수 있는 국가나 범죄 단체의 사이버 공격에도 대비해야 한다. 이러한 고도의 능력과 자원을 갖춘 공격자는 보안 인프라/서비스의 취약성을 이용해 사이버 공격을 감행할 가능성이 커지고 있다.

이용자 또는 고객의 보안을 지켜주는 역할을 수행하는 보안 인프라·서비스가 오히려 해커에 악용되어 고객과 이용자의 정보시스템이 심각한 보안 위험에 처하도록 하는 상황이 될 수 있다.

보안 인프라·서비스를 제공하는 국내 보안 업체의 보안 수준 향상이 절실한 이유다. 보안 업체의 보안 솔루션·서비스에 취약성이 발생하게 되면 해커가 인프라의 취약성을 이용해 공격을 감행하게 된다. 성공적인 공격으로 인한 피해는 해당 보안업체 정보시스템에만 영향을 주는 것이 아니라, 그 보안 프로그램을 이용하는 모든 고객과 이용자의 정보시스템이 위험에 처하기 만든다. 이로 인해 2차 피해 또는 3차 피해로 연결될 수 있기 때문이다.

대부분의 보안 인프라·서비스도 소프트웨어로 구현된다. 소프트웨어와 정보시스템에 보안 취약성이 없이 설계하고 운영하는 것이 현실적으로 불가능하다. 보안업체에 의한 취약성을 줄이고 보안 프로그램의 보안성을 제고를 위한 다각적인 관리 활동과 대책이 요구된다. 보안 업체 스스로 버그 취약성에 대한 보상 제도의 운영도 필요하다. 소프트웨어 개발 전주기 동안 보안 내재화를 적용해야 한다. 보안 인프라·서비스·제품 개발 시 개발 보안 방법론과 시큐어 코딩 설계 기법의 적용은 필수적이다.

또한 보안 인프라 제공하는 보안 업체가 외주 협력업체에 의존해 보안 프로그램을 개발하는 경향이 있다. 외주 협력업체의 보안성 점검도 필요하다. 외주 협력 업체에서 제공하는 소프트웨어 모듈에 존재하는 취약성이나 백도어가 수탁한 보안업체의 보안 제품이나 프로그램에 취약성이나 백도어가 존재하게 만들기 때문이다. 따라서 외주 협력 업체와의 계약서에 보안 요구사항이 반드시 반영되어야 하고, 이행 점검 프로세스도 필요하다.

보안 업체의 보안 수준을 향상하기 위한 정책적 수단이 없는 것은 아니다. 그중 하나는 공공기관이 이용하는 보안 제품의 안전성을 검증하기 위한 국제표준 근거 공통평가 기준을 이용한 정보보호 제품 보안성 평가 제도인데, 최근 규제 완화로 추세로 인해 민간 부문에 이러한 보안 기준을 적용하는데 무리가 있다.

또한, 정부에 의한 보안 업체가 자율적으로 안전한 개발 보안 환경 구축을 위한 기반 조성과 지원이 필요하다. 이를 위해 개발 보안과 관련된 다양한 가이드라인을 보급할 필요가 있다. 공격자가 보안 업데이트시 취약성을 집중적으로 노릴 위험이 크므로 패치 관리 시스템에 대한 긴급 보안 점검과 그에 따른 보호조치에 대한 모니터링도 필요하다. 또한 일정 규모와 중요한 정보를 다루는 보안 업체에 개발 보안 중심 정보보호관리체계를 운영하게 하거나 정보보호준비도 평가를 받도록 권고할 필요가 있다.

보안 업체는 자신의 보안 인프라나 서비스를 보호하기 위해 위험 평가 기반의 정보보호관리체계를 운영할 필요가 있다. 위험의 크기는 공격이 발생할 확률과 피해 규모에 비례한다. 따라서 보안 인프라·서비스 보호의 경우, 강화된 보안 대책의 적용이 필요하다.

보안 인프라·서비스의 취약성으로 인한 사이버 공격의 효과가 다수의 기관이나 이용자에게 미칠 가능성이 크므로 정부의 관심과 지원 그리고 보안 업체 스스로의 자발적 보안 수준 향상이 절실히 요구되는 시점이다.

염흥열 순천향대 정보보호학과 교수