취약점 정보를 정부가 먼저 가져갈 때 생길 수 있는 이익과 불이익

요약 : 미국의 사이버 보안 전문가들 일부가 미국 정부에 경고했다고 보안 외신 시큐리티위크가 보도했다. 중국 정부가 네트워크 제품 제조사/개발사들에 취약점 발견 시 이틀 안에 정부에 먼저 알려야 한다는 규정을 만들어 적용 중에 있는데, 이를 미국 정부가 똑같이 따라가서는 안 된다는 것이다. 중국 정부와 같은 규정을 도입할 경우 취약점을 정부가 먼저 익스플로잇 하거나 보완할 수 있게 된다는 장점이 있긴 하지만, 국가가 미리 받아 둔 취약점 정보를 해커들이 노릴 것이고, 이는 제로데이 취약점의 기하급수적인 증가를 야기할 수 있게 된다는 게 전문가들의 주장이다.


배경 : 중국은 오랜 시간 타 국가의 기밀과 지적재산을 훔쳐서 경제적 발전을 이뤄냈다. 독자적인 연구를 진행하기 위해 돈을 투자하는 게 아니라, 사이버 해킹 능력에 투자함으로써 고효율 성장을 이뤄냈고, 그렇기 때문에 취약점 정보는 정부에 있어 매우 중요한 데이터다. 미국의 보안 전문가들은 미국이 이런 전철을 밟는다고 해서 보안이 의미 있게 강화되지는 않을 것이라고 경고했다.

말말말 : “취약점이 선공개 되어야 하는 대상은 오로지 해당 제품과 소프트웨어를 만든 사람들 뿐이어야 합니다. 여기에 정부 기관이 개입하게 되면 위험 요소만 늘어나게 됩니다.” -루타시큐리티(Luta Security)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>