A보안업체 “보안설정 최소로 한 테스트 결과 부풀려져”

[보안뉴스 오병민] 동아일보는 25일 오전 ‘[단독]中악성코드, 한국 정부기관-기업 1500곳 노린다’ 제하 기사에서 국내 A보안 업체의 B방화벽을 타깃으로 한 악성코드로 인해 국내 정부기관과 기업 1500여 곳이 위험에 빠졌다는 내용의 보도를 내보냈다. 그러나 해당 내용은 보안설정을 제대로 적용하지 않은 테스트 결과를 확대 해석한 것으로 알려져 불필요한 불안감만 조성하고 있다는 비난이 나타나고 있다.

동아일보의 기사는 태국 보안전문가의 테스트 결과 문서를 바탕으로 작성됐다. 그러나 해당 문서의 작성자들은 웹 방화벽 테스트를 용이하게 수행하기 위해 A보안업체의 B웹방화벽의 보안설정을 낮게 변경한 것으로 전해지고 있다. 그런데 이 문서에 대한 전후 내용 없이 과장돼 기사로 작성 된 것. 이에 따라 A보안업체 측은 확인 취재만 제대로 됐어도 오해는 없었을 것이라고 강조한다.

A보안업체의 한 관계자는 “문서에 언급된 ‘SQL Injection Custom Policy Mode’는 제조사가 제공하는 권장 설정을 사용하지 않고 보안도를 낮게 변경하여 테스트 했음을 입증하고 있다. 따라서 A보안업체 측은 해당 공격들은 간단히 보안설정만 변경해도 방지할 수 있다고 설명한다.

더불어 이 테스트는 A보안업체의 B방화벽에 대한 것만도 아니라고 반박한다. 해당 문서는 두 곳의 글로벌 제조사의 상용 웹 방화벽과 또 다른 두 곳의 오픈소스 웹 방화벽을 함께 언급하고 있기 때문. 그리고 테스트를 진행한 이들은 각 제품의 특징을 이해하지 않고 다수의 웹 방화벽을 테스트 한 것으로 보인다. 결국 제조사의 기술 지원을 받지 않고 수행된 테스트는 제조사 및 전문 기술 협력사의 엔지니어들이 설정한 보안도보다 낮게 설정되어 진행되었다.

또한 A보안업체 측은 "해당 문서는 특정 방화벽의 취약점을 기술한 문서라기 보다는 SQL 인젝션에 대한 기술 문서이며 언급된 제품의 사용 고객은 단 한 줄도 언급되어 있지 않다"고 반박했다. 따라서 APT(Advanced Persistent Threat)와 같이 특정 제품을 사용하는 고객을 목표로 하는 공격 방법을 기술한 것이 아니며 PHP와 mySQL을 주 대상으로 한 SQL 인젝션을 분석한 내용이다.

올바른 제품 정보를 갖지 않고 테스트 되었다는 의견도 제기되고 있다. 문서에는 패치 배포가 2011년 10월 2일로 돼 있으나 제조사에서는 해당 날짜에 패치를 배포하지 않았다고 말한다. 즉, 테스트가 올바른 제품 정보를 갖지 않고 수행되었음을 입증하고 있다는 것이 A보안업체 측의 주장이다.

그리고 기사에서 문서의 내용을 악성 코드라고 언급했지만 내용을 살펴보면 악성코드가 언급된 부분이 없다 덧붙였다. 해당 문서는 SQL 인젝션 기술을 소개하기 위한 목적으로 작성한 논문으로서 SQL 인젝션을 수행하기 위한 구문을 제시했을 뿐, 이를 악성 코드화 하거나 자동화된 공격을 수행하는 방법을 제공하고 있지 않다.

또한 해당 기사에서 언급한 중국에 대한 부분도 잘못된 것으로 파악되고 있다. 작성자는 2명은 검색사이트에서 간단한 검색만으로 태국인인 것을 확인할 수 있었다.

해당 보안업체의 한 관계자는 “해당 기사에서 ‘B 방화벽을 쓰지 않고 다른 방화벽을 도입한 기관은 일단 해킹 위협으로부터 안전하다’라고 언급하고 있는데 해당 문서는 SQL Injection 공격과 다른 웹 방화벽을 같이 다루고 있다”면서 “이 가운데 특정 제품만을 언급한다는 것은 경쟁사의 악의적인 주장을 일방적으로 받아들인 것으로 볼 수 밖에 없다”며 우려를 나타냈다.

현재 A보안업체는 전국의 모든 파트너사들과 함께 고객사에 연락을 취해 해당제품에 대한 권장 보안설정을 당부하고 있는 것으로 알려졌다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>