재심사 결과에 따라 검증필 목록 삭제 업체 늘어날 전망

이에 관련업체 한 관계자는 “이번과 같은 상황이 처음은 아니다. 기존 보안적합성 검증필을 득한 업체가 보안기능 무단변경으로 보안취약점이 발생해 ‘검증필 제품 목록’에서 삭제된 후 최근 다시 등재를 한 예가 있다”며 “현재 10개 업체 모두가 이러한 사후 검증을 거친 것은 아니다. 즉 또다시 지금과 같은 ‘검증필 제품 목록’ 삭제가 발생할 수 있다. 하지만 이는 100% 완전한 보안이 없다는 점을 염두에 둔 말로 이와 같은 조치는 보안취약점을 방어해야 하는 방패를 더욱 단단하게 하는 계기가 될 것이다”고 밝혔다.

◆ 보안을 위협하는 심각한 보안USB 취약점

가장 심각한 취약점으로 대두되고 있는 VMWare 설치 후 일반USB로 자료 유출이 가능한 취약점과 특정 SW를 통한 보안USB 영역 직접 액세스해 데이터 읽기 및 복사가 가능한 취약점이 드러났다. 또 안전모드 부팅 후 보안USB 폴더를 삭제해 무력화 시키는 취약점도 발견됐다.

또한 보안USB 실행파일을 강제종료후 일반 USB로 중요 내부 자료를 유출할 수 있는 취약점, 공인(사설)인증서 저장시 보안USB에서 예외처리되는 것을 악용해 내부 자료를 인증서 확장자로 변환해 저장후 유출할 수 있는 취약점도 밝혀졌다.

그리고 PC부팅시 보안USB프로그램이 실행되기 전 시간을 이용해 일반USB로 중요 자료를 유출할 수 있는 취약점도 드러났다.

이중 가장 심각한 취약점은 VMWare 설치 취약점이다. PC에 설치돼 있는 보안USB 에이전트를 무력화할 필요 없이 단순하게 VMWare 소프트웨어만 설치하면 누구나 내부의 중요자료를 손쉽게 저장하거나 유출할 수 있고 사용로그조차 남지 않기 때문에 상당히 위험한 취약점으로 밝혀졌다.

이에 업체 관계자는 “이번에 보안취약점이 발생돼 보안USB 시장에 큰 혼란이 있다는 등의 우려는 Server와 Agent로 구분해야 할 보안USB의 특성을 잘 모른 결과다”며 “보안USB에는 수요처 사용자들에 지급되는 에이전트와 이를 통합적으로 관리하는 서버가 있으며, 이와 관련 보안취약점에 대한 우려는 개인 사용자가 이용하는 보안USB 에이전트 프로그램에서 발생할 수 있는 문제지만 이에 대한 대응은 이미 모든 업체들이 하고 있는 것으로 알고 있다”고 업계 관계자는 말했다.

이와 관련 이번에 국정원 ‘검증필 제품 목록’에서 삭제된 업체 관계자는 “6월부터는 CC인증을 통해 공공기관 등에 제품을 납품할 수 있기 때문에 현재 이를 진행하고 있는 상태며 또한 보안적합성 검증필 목록이 그때부터 삭제된다 하더라도 이것이 없어지는 것은 아니기에 이후 재등록 할 예정이다”고 밝혔다.

한편 보안USB 제품에 대한 커스터마이징에 대해 업계 관계자는 “국정원이 보안성을 위해 지침을 내린 형상을 무단 변경하는 것은 보안문제가 발생할 것임을 알면서도 수요처의 커스터마이징 요구에 응한 업체의 잘못이 있는 것은 사실이다. 하지만 그에 따른 수요처의 보안인식 제고도 필요하며, 무엇보다 이에 대한 국정원 등의 명확한 컴플라이언스도 필요하다”고 전했다.

또 일부에서는 보안USB의 드러난 취약점 점검 이외에 보안USB 인식율 및 불량율, 신속한 기술지원 체계와 같은 제품안정성까지 재검토 대상이라고 말하고 있다.

재심사 건도 처음에는 중앙행정기관 망분리에 납품한 보안USB 업체들을 대상으로 취약점 진단이 이루어졌지만 최근에는 보안적합성 검증필 10개 제품 전체를 대상으로 보안취약점 재심사가 이루어진 상황이다. 재심결과에 따라 취약점이 존재하고 있는 제품에 대해서는 제재를 강화하는 차원에서 다음주 정도에 검증필 목록에서 삭제될 기업이 더욱 늘어날 것으로 보인다.  

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>