• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[단독] 삼성 프린터 기능 악용시 공문서 위변조 가능 2015.05.21

삼성전자, 해당 프린터 기종에서 파일 저장 기능 삭제 조치
행자부, 해당 기종의 공문서 인쇄 중지 등 긴급조치·후속대책 마련  


[보안뉴스 김태형] 삼성 프린터의 일부 기종에 존재하는 ‘이지 에코 매니저’ 기능을 악용할 경우 전자문서의 위변조가 가능했던 것으로 드러났다.  

 

이를 본지에 알려온 변석준 학생은 삼성 프린터 제품으로 공문서를 발행해 출력하는 과정에서 프린터의 미리보기 기능을 통해 파일을 저장한 후, 이 공문서의 문자와 숫자를 수정해서 출력해 보니 이러한 문서 위변조가 가능하다는 점을 알아냈다고 밝혔다. 
 

▲ 삼성 프린터의 ‘이지 에코 매니저’ 기능을 이용하면 전자문서의 미리보기 기능을 이용해
   파일을 저장하고, 이를 특정 프로그램으로 위조할 수 있는 취약점이 발견됐다. 이에
   행자부는 긴급 조치를 통해 공문서에서 해당 기능이 작동되지 않도록 수정 및 보완했다.


이와 관련 변석준 학생은 “출력할 공문서를 삼성 레이저젯 프린터의 에코 기능을 이용해 받아온 다음, 이를 XPS 파일로 PC에 저장한 후, PDF 파일의 수정·편집이 가능한 아크로뱃 프로그램을 불러왔다”면서 “아크로뱃을 이용해 문자를 수정한 후 프린터로 출력이 가능했다”고 설명했다.


공문서의 경우 발행번호로 진위여부가 확인 가능하지만, 하나하나 번호로 확인해야 하기 때문에 판별이 쉽지 않고, 다른 여러 가지 방법으로도 충분히 속일 수 있어 악용된다면 심각한 피해로 이어질 수 있는 상황이었다.  


이에 본지는 행정자치부 행정서비스통합추진단에 해당 취약점을 전달하고 확인 및 조치를 요청했다. 행자부 측은 삼성 프린터 일부 기종에서 ‘이지 에코 매니저’ 기능을 이용하면 미리보기 파일저장이 가능하고, 이를 ‘Acrobat Pro’와 같은 PDF 편집·수정이 가능한 특정 프로그램을 이용하면 문서 위변조가 가능한 것으로 확인됐다며, 긴급조치를 취할 것이라고 밝혔다.   


이와 관련 행자부 행정서비스통합추진단 관계자는 “이와 같은 취약점은 민원24에서 발행하는 공문서뿐만 아니라 국세청·법원 등 다른 유관기관의 인터넷 문서에서도 가능하며, 사문서도 충분히 위·변조가 가능하다”면서 “원칙적으로 정부기관에서 발행하는 공문서는 출력만 가능하고, 화면 저장 및 수정·편집 등 다른 기능은 불가능하도록 되어 있다. 현재 국내 다른 제조사들의 프린터들을 긴급 점검해 봤지만 최근 출시된 삼성 프린터에서만 이러한 기능이 있었다. 현재 제조사인 삼성전자 측에도 알려 프로그램을 보완토록 했다”고 말했다.


결국 국내에서 온라인으로 발급되는 민원발급문서 등의 각종 공문서 및 사문서를 프린트할 때 삼성 프린터의 파일저장 기능을 악용할 경우, 대부분이 위·변조 위험에 노출되어 있었던 셈이다. 이렇듯 출력물을 PC로 역 저장하는 기능은 삼성, HP, 캐논, 엡손, 엘지 등 국내 보급률 상위 5대 메이저 프린터사 중 삼성전자 제품 270개 기종에서만 제공하고 있는 것으로 확인됐다.


이에 행자부는 이 문제가 긴급을 요하는 민감한 사항이라고 판단하고 신속한 대응과 조치를 진행했다. 우선 행정기관 대상으로 파일저장 기능을 제공하는 프린터 기종에 대한 민원서류 발급을 중지하는 긴급조치를 취하고, 온라인 문서 발급 프로그램을 보완하는 조치를 20일부터 적용했다. 행자부 측은 “민원서류 출력시 사용자 프린터의 ‘미리보기 서비스 사용여부’를 검사해 미리보기 및 파일저장 기능이 구동되기 전에 종이문서로 직접 출력되도록 수정 및 보완했다”고 설명했다.


또한, 행자부는 공공기관은 물론 금융권 등 주요 민간기관에 상황을 전파한 후, 긴급대응 등의 후속조치를 요청했다. 이와 함께 삼성전자 측에는 행정·공공기관 대국민서비스에 대해서는 관련 서비스가 작동되지 않도록 프린터 프로그램의 보완을 요청한 것으로 알려졌다.


이와 관련 삼성전자 측 관계자는 “이용자 편의를 위한 기능이었지만 행자부의 요청에 따라 해당 기종의 프린터 드라이버를 새로 배포해 파일 미리보기에서 파일 저장 기능을 없애도록 조치했다”고 말했다.


후속 조치와 관련해서 행자부는 향후 IT 기술 발전에 대응한 정부 온라인 민원발급 서비스 보안대응 체계를 한층 강화할 계획이라고 밝혔다. 이를 위해 프린터 신규 등록 시 파일저장 및 이미지뷰어 등 위·변조 기능 검증을 강화하고, 스마트폰 등 모바일 기기를 활용한 진위확인서비스를 개발해 적용할 방침이다.


한편, 공문서 등을 위조하거나 변조할 경우에는 법에 따라 처벌 받을 수 있다. 특히, 형법 제225조(공문서등의 위조·변조)에 의하면 ‘행사할 목적으로 공무원 또는 공무소의 문서 또는 도화를 위조 또는 변조한 자는 10년 이하의 징역에 처한다’고 규정되어 있다. 또한, 동법 제229조(위조등 공문서의 행사)에서도 ‘제225조 내지 제228조의 죄에 의하여 만들어진 문서, 도화, 전자기록 등 특수매체기록, 공정증서원본, 면허증, 허가증, 등록증 또는 여권을 행사한 자는 그 각 죄에 정한 형에 처한다’고 규정하고 있다.

[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>