사전계획이나 업무협조 미흡...취약점 패치 검증은 가능한가?

공유기 취약점 신고포상제 공동운영 참여기업 ‘없었다’

[보안뉴스 민세아] 지난해부터 공유기 취약점 문제가 큰 이슈가 되면서 정부기관과 해당 공유기 업체들이 비상이 걸린 상황이다. 이러한 가운데 한국인터넷진흥원(이하 KISA)에서 지난 4월부터 시행한 공유기 취약점 신고포상제와 관련해 사전공지나 업무협조 등에 있어 여러 가지 문제점이 불거졌다는 지적이 나왔다.

이를 위해 KISA는 취약점 신고포상제의 공동운영에 참여할 공유기 업체를 모집했다. 취약점은 1차 KISA, 2차 외부전문가로 구성된 평가위원회를 거쳐 파급도 등을 평가해 최소 30만원부터 최대 500만원까지 포상금을 지급한다. 다만, 공유기 신고포상제 공동운영에 참여하는 기업이 포상금을 부담해야 한다는 조건이 있었다.

KISA는 포상금을 부담하는 공동운영 참여기업에 대해 ‘주요 정보보호 활동 강화 기업’으로 언론 등을 통해 적극 홍보하겠다는 내용도 전한 것으로 알려졌다. 그러나 결국 공유기 취약점 신고 포상제 공동운영에는 어떤 기업도 참여의사를 밝히지 않았다.

한 공유기 업체 관계자는 공유기 취약점 신고 포상제 공동운영에 참여하지 않은 이유를 이렇게 말했다. “시행기간이 4월 16일부터 5월 15일까지였는데 공동운영에 참여하라는 공문이 온 것은 27일이었습니다. 시행기간 도중에 참여하라는 것이죠. 참여했을 때 유리한 점을 크게 느낄 수 없었고, 대대적으로 홍보되는 제도라는 느낌도 받지 못했습니다. 공동운영에 참여하면 취약점 신고 포상금을 우리가 지불해야 하는데, 비용 지급에 대한 구체적인 방법도 제시되지 않았고요.”

KISA는 신고받은 취약점을 공유기 업체에게 통보한 후 △해당 취약점이 영향 받는 버전 정보 △해당 취약점의 조치 방안 및 조치 일정 △해당 취약점이 해결된 제품 버전 정보 등에 대해 일주일 안에 회신해줄 것을 요청했다. 만약 회신하지 않을 경우 해당 취약점 내용 일부를 해당 소프트웨어 사용자에게 알리겠다고 전했다.

그러나 회신을 하지 않거나 취약점을 조치하지 않으면 취약점을 어디에 어떻게 공개하겠다는 것인지 구체적으로 명시되어 있지 않아 아무런 구속력을 느낄 수 없었다는 의견을 공유기 업체 관계자로부터 들을 수 있었다. 또한, 주기적으로 회의를 위해 모이는 업체들을 보면 지금은 공유기를 전혀 취급하지 않는 업체들도 포함돼 있었다는 것. “업체들에 대한 실태조사도 제대로 안 되어 있는 상황인 것 같습니다. 이렇듯 각 업체들이 어느 정도 R&D 능력을 가지고 있고, 얼마나 대응할 수 있는지 등도 파악하지 못하고 있는 상황은 문제가 있다고 봅니다.”

더욱이 사용자들에게 소프트웨어 취약점을 공개한다는 것은 취약점 악용 등의 문제를 일으킬 수 있기 때문에 문제가 더욱 확대될 수 있다는 지적도 나온다. KISA 측은 “취약점을 공개한다기보다는 생산되지 않는 단종 제품이나 더 이상 패치되지 않는 제품에 대해 이용자 보호차원에서 해당 공유기 사용을 자제하도록 공지하겠다는 것”이라고 밝혔다.

게다가 공유기 업체 관계자는 명색이 취약점을 찾아서 신고하는 것인데, 그 기간이 겨우 한 달 남짓인 것도 문제가 있어 보인다고 말했다. “취약점 신고 포상제 공동운영에 협조해 달라는 공문 하나 받은 게 다였습니다. 그것도 신고기간 와중에요.”

또한, 누구를 대상으로 어떻게 알려 진행하고, 대응이 안 되는 업체에게는 어떤 페널티를 줄 것인지에 대한 구체적인 플랜도 없었다는 게 업체 관계자의 설명이다. “취약점 조치 완료기간도 딱히 제한된 게 없었어요. 그렇다면 예를 들어 올해 안에 고치겠다고 하면 KISA에서는 업체가 약속한 날짜에 조치를 했는지 계속 체크하고 모니터링해야 하는데...”

이와 관련해서 KISA 측은 취약점이 특정 제품에서만 발견되는 경우도 있고, 제조사 전체 제품에서 발견되는 경우도 있기 때문에 사실상 2개월까지 조치기간을 두거나 취약점 규모에 따라 조치기간을 잡는다고 전했다. 취약점에 대해 조치를 요청할 수 있는 법적 근거는 있지만, 조치 완료기간과 관련해 강제할 수 있는 법적 근거가 없기 때문이라는 설명도 뒤따랐다.

공유기 업체에서 패치가 완료됐다고 통보하면 KISA에서 패치 완료 여부를 어떻게 확인할 것인지도 의문이다. 공유기 업체에 신고가 들어온 취약점을 살펴보면 전문적으로 리버싱 엔지니어링을 하지 않으면 찾아내기 힘들 정도로 고수준의 취약점이 많다는 것. 업체는 KISA에게 패치된 펌웨어 버전과 이를 언제 배포할 것인지만 알리면 되는데, 기존 펌웨어에서 날짜만 바꿔서 올리면 KISA가 자체적으로 확인할 방법이 있느냐는 얘기다.

“취약점을 발견한 사람이 취약점을 발견했던 환경에서 똑같이 테스트해서 패치됐다는 사실을 증명하는 게 가장 정확한 방법이라고 생각합니다. 업체가 패치를 완료했다고 통보하면 거기서 끝이 아니라 제3자가 증명해야 확실하게 확인되는 것이겠죠.”

각종 해킹 공격과 정보 유출 등을 막기 위한 ‘공유기 취약점 신고 포상제’의 취지와 목적에 대해 이의를 제기할 사람은 없을 것이다. 하지만 대상이 되는 공유기 업체들에게 세부적인 계획과 후속조치에 대한 보다 구체적인 설명을 바탕으로 참여를 유도했다면 더 좋은 결과를 남길 수 있지 않았을까? 이번 포상제는 좋은 취지로 시작됐지만, 공유기 업체들의 참여와 공감을 얻지 못해 결국 반쪽자리 이벤트성 행사로 끝나게 됐다.  

[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>