그러나 조달업무 전 과정을 온라인으로 처리하는 국가종합전자조달시스템인 조달청 나라장터에서는 여전히 자바의 하위 버전인  Java7 update17 버전 밖에 사용하지 못해 나라장터를 이용하는 많은 사람들에게 보안위협과 함께 불편함을 끼치고 있다. 

이를 본지에 알려온 한 보안업계 관계자는 “나라장터 홈페이지에서 Java7 update51 버전은 호환되지 않아 이를 제거하고 Java7 update17을 새로 설치해서 사용하도록 유도하고 있다. 이렇게 하지 않으면 나라장터에서 입찰을 진행할 수 없다”고 말했다.

그런데 Java7 update17을 설치하면 악성코드 감염 등 보안에 취약할 수 있다는 점이 문제다. Java7 update17 버전에서는 악성코드 감염될 수 있는 취약점이 5개 이상이고 악성코드 유포에도 악용되고 있다는 것.

보안업계 관계자는 “최근 나온 Java7 update51은 보안이 강화된 버전으로 상위 버전이 아닌 보안에 취약한 하위 버전 밖에 사용할 수 없다는 것은  보안상 큰 문제가 될 수 있다”며,  “또한 보안이 강화된 버전을 사용하다가 나라장터에서 하위 버전으로 바꿔 사용하고 그대로 다른 웹사이트를 돌아다닌다면 악성코드에 감염될 수 있다”고 우려했다.  

자바는 한달에 한번씩 기본으로 자동 업데이트를 하도록 되어 있어 사용자들은 한달 안에 모두 51버전으로 자동 업데이트 됨에도 불구하고, 하위 버전인 17버전을 의무적으로 사용하도록 해서 여러 가지 문제가 초래되고 있다는 얘기다.

Java 7 update51은 최신 버전으로 보안업체에서는 악성코드에 감염되지 않도록 자바 최신 버전으로 업데이트 할 것을 권고하고 있는데, 정작 조달청 나라장터에서는 오히려 낮은 버전을 사용하도록 해서 보안위협을 방치하는 이유는 무엇일까?

이에 대해 조달청 나라장터 담당자는 “Java7 update17 버전은 2012년 3월에 나온 이후 취약점이 계속 패치되면서 현재까지 21, 25, 40, 45, 51버전까지 업데이트가 이루어졌다. 그러나 최신 버전이라고 해서 취약점이 없는 것은 아니”라며 “이에 나라장터에서는 자바를 비롯해 OS·인터넷 익스플로러 환경 등도 마찬가지로 모두 내부 테스트를 거쳐 내부에서나 클라이언트 측에서 아무 문제없이 완벽하게 구동될 수 있어야 사용을 권고하고 있다”고 말했다.

나라장터에서 진행하는 공공기관 입찰은 입찰마감 시간이 있기 때문에 참여 업체는 마감시간 안에 투찰을 해야 하는데, 나라장터의 전자입찰 시스템이 불안정하면 마감시간 안에 투찰을 못할 수 있기 때문에 무엇보다 안정성이 중요하다는 것.

이어 그는 “내부 테스트에서 문제가 없더라도 클라이언트의 PC환경이 천차만별이기 때문에 시스템에서 아무 문제없이 전자입찰에 참여할 수 있는 환경을 권고하고 유도할 수 밖에 없다”면서 “자바의 경우 45버전까지 내부 테스트를 마쳤고 최근 출시된 51버전에 대해서도 현재 테스트를 진행 중”이라고 설명했다.

덧붙여 그는 “하지만 모든 사용자들에게 아무런 문제없이 구동되는 환경은 17버전이기 때문에 이를 권고할 수 밖에 없다. 다른 상위 버전은 내부적으로 테스트는 끝났고 아무 문제가 없다고 판단하고 있지만 다양한 사용자 환경에서의 문제는 완벽하지 않기 때문에 최신 버전의 업데이트가 늦어질 수 밖에 없다”면서 “다만 자바의 보안취약점을 보완하기 위해서 현재 자바 애플릿을 가상화 서버에서 실행하도록 하는 가상화 방안을 적용하고 있다”고 강조했다.

그러나 자바 애플릿을 설치한 사용자들이 자동 업데이트 기능을 통해 51버전으로 모두 업데이트되는 상황에서 안전성을 이유로 45버전도 아닌 17버전 사용을 고집하고 있는 것에 대해 보안의식 부족과 신속한 대응 미비를 지적하는 사용자들의 비판 목소리가 점차 높아지고 있다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>