국가정보원 IT보안인증사무국은 지난 25일 홈페이지를 통해 안철수연구소(대표 김홍선)의 네트워크 통합보안 장비 ‘수호신 앱솔루트 V2.5(AhnLab Suhoshin Absolute v2.5)’제품에 대해 ‘정보보호제품 평가인증 수행규정’ 제69조에 의거해 인증제품에 새로운 취약점이 발견될 경우 해당 취약점을 제거해야 함에도 불구하고 CC인증을 득하고 있는 본 제품에 대해 특별한 사유 없이 취약점 제거를 지연하는 등 보안대책 의무를 소홀히 해 제품의 인증서 효력을 취약점이 제거될 때까지 정지토록 했다고 공지했다.

네트워크 통합보안 제품인 ‘수호신 앱솔루트’는 방화벽과 VPN, 콘텐츠 보안 기능이 통합된 솔루션으로 보안 시스템만을 위해 설계된 네트워크 전용 장비에 전용 OS를 탑재한 제품으로 과거 기존 K4인증을 갖고 있다가 지난 2009년 3월 EAL4 등급으로 CC인증을 획득한 바 있다.

이번 효력정지 사유는 ‘수호신 앱솔루트 v2.5’를 비롯한 일반 방화벽 제품들이 보유한 SSH(Secure Shell) 취약점에 대한 패치를 고객사 사이트에 적용하는 것이 지연됐기 때문인 것으로 알려지고 있으며, 취약점 패치 적용이 완료될 때까지 한시적으로 인증서 효력이 정지된 것이다.

이에 안철수연구소 관계자는 “취약성 패치를 이미 개발했으며, 고객사에 설치하고 있는 중”이라며 “조만간 모든 사이트에 적용 완료할 계획”이라고 밝혔다.

한편 이번 ‘수호신 앱솔루트’ 제품이 보안취약점 제거를 지연했다고 하는 SSH 취약점은 관리자의 ID 및 비밀번호가 유출됐을 경우에 한해 방화벽의 설정 값을 우회하도록 설정할 수 있는 취약점이다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>