P2P 이용하던 중, 패스워드 파일까지 공유...해당 직원 퇴사조치

[보안뉴스 오병민] 국내유명 보안기업 I사 웹방화벽 T제품의 패스워드 리스트가 일시적으로 외부에 노출된 것으로 확인됐다. 다행히 노출된 후 바로 해당 제품 이용자들의 패스워드 변경조치가 이뤄져 피해는 없었던 것으로 파악되고 있다.

패스워드가 노출된 웹방화벽은 CC인증과 GS인증을 받아 국내 공공기관 및 기업에서도 많이 이용되고 있는 제품이다.

패드워드 유출은 I사 직원의 실수로 일어났다. 이 직원은 외부반출이 금지된 작업용 노트북을 이용해 외부에서 유지보수 및 작업지원을 하던 중, P2P서비스에서 특정프로그램을 다운 받으려고 패스워드 리스트 파일이 저장돼 있던 폴더를 공유폴더로 지정했다. P2P서비스에서 공유폴더로 지정한 폴더는 다른 P2P 이용자들에게도 공유된다는 사실을 잊은 것. 이 때문에 패스워드 파일은 인터넷에 노출됐다.

이 사실을 알게 된 I사 측은 해당 직원의 노트북을 회수하고 패스워드가 노출된 웹방화벽의 이용자들을 방문해 패스워드 노출 가능성을 설명함과 동시 패스워드를 교체하는 등 오프라인 지원을 진행했다고 밝혔다.

I사에 따르면 패스워드가 노출된 방화벽은 총 39개로 파악되고 있다. 노출된 패스워드 중 19개를 제외한 나머지 20개는 사용자가 변경한 패스워드 값이 저장돼 있었기 때문에 변경 확인을 진행한 것으로 전해졌다.

I사 측의 한 관계자는 “해당 웹방화벽은 내부 정책 때문에 외부에서는 접근이 불가능한 상태이기 때문에 피해는 없는 것으로 확인됐다”면서 “그러나 잠시나마 패스워드가 노출됐었기 때문에 혹시 모르는 상황에 대비한 조치로 직접 방문해 보완 조치를 완료했다”고 밝혔다.

I사 측은 작업용 PC의 외부 반출을 금지하고 있다. 따라서 내부 규율을 어기고 노트북을 반출한 것에 대해 해당 직원은 해고 조치하고 관련 직원들에 대해서는 중징계를 내린 것으로 알려지고 있다.

이번 사고로 직원의 보안 관리와 보안 제품의 패스워드 관리의 허술함이 문제점으로 드러났다. 직원의 실수도 문제지만 웹방화벽 판매업체인 I사가 지원을 위해 가지고 있었던 고객들의 웹방화벽의 비밀번호가 허술하게 관리되고 있었기 때문.

박나룡 보안전략연구소 소장은 “일반적으로 조직 내부에서는 패스워드 파일이 비밀로 분류되어 관리되지만 유지보수 업체 담당자들에 대해서는 동일한 원칙이 적용되지 않는 경우가 발생하고 있다”면서 “보안장비와 같은 중요 장비에 대해 유지 보수 등을 목적으로 외부 인력을 통해 지원을 받는 경우 조직 내부 관리수준과 동일한 수준의 관리/통제를 요구할 필요가 있다”고 주장했다.

특히 그는 내부적으로 통제가 되지 않거나 체계적으로 관리되지 않는 사람이 알고 있는 패스워드는 이미 패스워드로서의 기능을 상실한 것이라고 설명한다.

박 소장은 “사실 보안장비의 패스워드와 같은 중요한 정보를 유지보수 업체 직원이 가지고 있었다는 것 자체가 이해하기 어려운 부분”이라며 “더불어 중요한 정보가 담긴 기기(노트북등)가 적절하게 관리되지 않을 경우에는 외부 유출은 피하기 어렵다”면서 체계적인 보안 관리의 필요성을 강조했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>