정부기관 망분리에 데이터 유출방지를 위한 수단으로 이용되고 있는 보안USB 제품들이 여러 심각한 보안 취약점에 노출돼 있는 것으로 알려져 논란이 되고 있다.

알려진 취약점은 VM웨어 소프트웨어를 설치해 이용하면 일반 USB로 자료를 유출할 수 있다는 점과 보안USB내 보안 프로그램을 무력화하는 방법, 더불어 보안 프로그램을 우회하는 방법 등이다.

이런 취약점에 대해 국정원의 한 관계자는 “알려진 취약점들은 보안 USB 제품 제작업체가 국가기관 납품시 제품에 대한 보안기능을 무단으로 변경해 발생한 것으로 이 취약점에 대한 보안조치는 완료된 상태”라고 밝혔다.

실제로 국정원은 보안기능을 무단으로 변경한 사업자에 대해 보안적합성 등재를 당분간 중지시켰다. 그럼에도 불구 업계에서는 이런 취약점의 등장에 대해 뚜렷한 설명이 없는 국정원의 태도에 불만을 나타내는 곳도 적지 않다.

그 이유는 발견된 취약점이 무단으로 변경해서 나타난 것인지 아니면 새로운 취약점인지에 대한 내용을 공개 하지 않고 있기 때문이다.

국정원 측은 "공공기관에 납품된 보안USB는 국가의 보안과 연관돼 있다. 그래서 보안취약점이 대외로 노출이 되면 악용될 수 있기 때문에 공개할 수 없다"고 말하고 있다. 

하지만 보안USB 업계에서는 보안 취약점이 발견됐다면 그런 취약점을 적어도 보안USB 업체들에게는 상세하게 공개했으면 하는 입장이다.

업계의 한 관계자는 “보안USB의 형상을 무단으로 변경해 (보안적합성 등재가)일시정지 됐다는 보안업체 이야기와 관련된 취약점이 언론에 조금씩 나오고 있는데, 일부의 업체들은 무단으로 변경하지 않아도 나타날 수 있는 보안 취약점이라는 이야기가 나오고 있어 상황을 지켜보고 있다”면서 “보안USB 업체에게만이라고 어떤 취약점이 나타는지 설명해주면 좋겠지만 국정원 측은 아무런 설명이 없어 초조한 상태”라고 말한다.

나타난 취약점이 형상변경에 대한 문제가 아니라면 이를 판단해 바로 수정해야하지만 국정원은 사안 공개에 대해서는 요지부동한 태도를 가지고 있어 불안감이 증폭되고 있는 것이다.    

보안USB는 앞으로 망분리 사업시 가장 핵심이 되는 보안부분이다. 물론 중요한 취약점이 대외적으로 알려져 문제가 발생하는 것을 우려하는 국정원의 입장은 어느 정도 이해할 수 있지만, 이 같은 국정원의 무조건적인 비공개 원칙은 오히려 시장을 불안하게 만드는 요인이 되고 있다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>