• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

한수원의 보안USB 논란, 들여다 봤더니... 2015.09.09

이채익 의원, 한수원 보안USB 관리 부실 제기했지만...   

한수원, 강화된 보안USB 정책 적용 주장...암호화 미흡은 논란거리   
보안USB의 이해 부족에 따른 혼란 가중 지적도    


[보안뉴스 김태형] 지난해 원전자료 유출사건으로 한차례 홍역을 치룬 한국수력원자력(이하 한수원)의 보안 시스템에 여전히 ‘구멍’이 있다는 지적이 나왔다. 국회 산업통상자원위원회 이채익 새누리당 의원이 보도자료를 통해 “협력사를 비롯한 한수원 관계자가 외부로 자료를 갖고 나가서 작업할 때 직원용 보안USB를 사용하는데, 이 부분에 허점이 크다. ID와 비밀번호를 입력해서 작업할 때 일반 컴퓨터에도 자료를 그대로 내려받을 수 있다”고 지적했다.

이 의원은 “자료를 내려받은 일반 컴퓨터가 해킹 당했다면 자료는 외부로 유출된다”며 “자료가 암호화돼 있지 않은데다 USB를 반출할 때도 출납장부에 기록하고 각서를 쓰는 전근대적인 방식을 사용하고 있다”고 덧붙였다.


이에 대해 한수원 측은 “협력사 직원에게는 원칙적으로 보안USB를 지급하지 않으며, 해당 보안USB는 국회의원실이 한수원에 2개를 요청해 제공한 것이다. USB의 아이디와 비밀번호를 의원실에서 요구해 제공했으며, 의원실에 제공한 파일은 문서암호화 기능을 해제했지만, 협력사에 데이터를 제공할 시에는 파일을 암호화했다”고 설명했다.

또한, 보안USB는 보안 시스템에서 권한 및 접속기록 관리를 하고 있으며, USB반출입 대장은 보안USB 자체에 대한 반출입을 관리하고자 추가적으로 적용한 보안강화 정책이라는 게 한수원 측의 설명이다. 아울러 한수원의 보안USB는 로그인 5회 실패 시에는 보안USB가 초기화되어 사용이 불가한 제품이라는 것.  

현재 상당수 대기업에서는 내부망과 협력사가 자료를 공유하는 전용 시스템을 구축하고 있어 외부에서는 파일을 내려받을 수 없도록 하고 있다. 한수원도 이와 동일한 정책을 적용해 외부에 제공되는 문서는 암호를 걸어 제공하도록 되어 있으며, 열람횟수, 전달금지, 출력차단 등 권한을 철저히 통제하고 있다고 덧붙였다.

또한, 이 의원은 지난해 3월 회사를 떠난 부장급 직원이 퇴직 후 2개월 동안 보안 시스템에 접근한 사례도 있었다고 설명했다. 이에 대해 한수원 측은 부장급 직원이 퇴직 후 2개월 동안 접근이 허용된 것은 퇴직 이후에도  회사에서 공식적으로 근무를 하게 되면서 당연히 허용된 것이라고 강조했다.

그러나 이 부분은 한수원 측의 퇴직자 관리가 허술했다는 비판을 피할 수 없다는 지적이다. 한수원 측의 설명대로라면 퇴직을 한 이후에도 해당 직원이 공식적인 업무를 맡았다는 얘기인데, 퇴직자의 경우 임시로 업무를 맡겼더라도 접근권한을 차별화시키는 등의 별도의 보안조치가 필요했다는 것이다.

한편, 보안USB는 기본적으로 사용자 인증, 데이터 암복호화, 임의 복제 방지, 분실·도난 방지, 매체제어 등의 보안기능을 기본으로 탑재하고 있다. 여기에 DLP나 DRM 기능은 옵션으로 추가할 수 있다. 보안USB의 ID·PW를 알고 있다고 하더라도 사용이 쉽지 않은 이유다. 또한, 데이터 자동 암·복호화 기능이 있어 보안USB ID와 PW를 알아내어 접속한다고 하더라도 암호화된 파일을 쉽게 복호화 할 수 없어 보안을 적용할 수 있다는 점이 장점이다.

이에 대해 한 보안USB 업체 관계자는 “이채익 의원실에서 한수원 보안USB를 어떻게 테스트 했는지는 모르지만, 기본적으로 ID·PW만으로 보안USB의 파일을 사용할 수 있도록 되어있다면 보안USB 정책을 느슨하게 적용한 것일 수도 있다”면서 “보안USB의 기능을 충분히 잘 활용한다면 강화된 데이터 보안 수준을 유지할 수 있을 것”이라고 말했다. 

그러나 보안USB의 ID와 PW를 미리 알려달라고 해놓은 상황에서 거기다 보안USB의 정확한 이해 없이 문제가 있다는 식의 주장만 펼치는 것도 보안 솔루션에 대한 막연한 불신을 초래할 수 있다는 측면에서 우려가 제기되고 있다.

다만 암호화 관련해서는 논란의 소지가 크다. 한수원 측에서 문서암호화 기능을 의원실에 제공할 때 일부러 해제시킨건지 아니면 암호화 기능을 원래부터 사용하지 않은 상태였는지는 정확히 확인할 수 없지만, 암호화 기능을 애초부터 사용하지 않다면 관리 미흡 문제가 제기될 수 있기 때문이다.    

또 다른 보안전문가는 “보안USB는 자체적으로 보안기능을 탑재하고 있어 이를 사용하는 기업에서 정책적으로 얼마나 활용하느냐에 따라 보안 수준이 강화될 수 있고 있으나 마나한 보안 시스템이 될 수 있다”면서 “대부분의 보안USB는 기본적으로 암·복호화, 매체제어, 사용자 인증 등을 제공하고 고객사 사용 환경에 따라 DRM과 DLP를 옵션으로 제공할 수 있다”고 말했다.
[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>