‘NETSEC-KR2016’ 정보보호 산업 발전 토론회 개최
정보공유 및 신속한 대처로 보안기업과 사용자간 신뢰관계 강화 필요

[보안뉴스 김태형] 최근 사이버 상에서 법인의 인감처럼 사용하는 ‘코드사인’이 탈취되어 이슈가 됐다. 코드사인은 온라인 상에서 배포되는 실행 파일이 신뢰할 수 있는 정당한 제작자가 만들고 위·변조되지 않았음을 증명하게 된다.


이에 기업은 코드사인 인증서로 자사의 소프트웨어(SW)와 파일이 보안성을 갖고 있는 정품임을 인증한다. 통상적으로 코드사인이 있으면 출처를 믿을 수 있는 파일이라고 볼 수 있다. 이번 사건과 관련해서 28일 ‘NETSEC-KR2016’ 정보보호 산업발전 토론회에서는 ‘코드사인, 해결을 넘어서 상생과 발전을 위하여’라는 주제로 이번 사건의 문제점과 향후 대응방안에 대해 논의하는 자리가 마련됐다.

이날 토론회에 참석한 KISA 박상환 전자인증팀장은 “사고 발생 당시 KISA는 백신업체와 협력해 악성코드 샘플을 채집해서 해커의 C&C 서버를 찾아 차단했다. 그리고 악성코드가 더 이상 확산되지 않도록 긴급 대응조치를 취했다”면서 “코드사인은 해당 업체 개발자가 관리하고 외주 용역업체까지 공유해서 테스트를 하고 있는 상황이다. 클릭만으로 편리하게 사용하도록 하고 있어 개발자들의 보안의식 미흡과 관리 소홀이 코드사인 인증서 해킹의 빌미를 제공했다”고 말했다.

이어서 그는 “KISA에서는 체계적인 코드서명 관리를 위한 ‘코드서명 인증서 관리 가이드라인’을 제작 배포했다. 향후 코드사인 실행파일을 자동으로 배포하고 업데이트하는 서버에 대한 보안관리에 각별한 주의가 필요하다”면서 “이번 사건은 코드사인에 대한 위험관리만 잘 했더라면 예방할 수 있었던 사고였다. 관리적·기술적인 부분과 사고 발생 시 체계적인 대응이 필요하다”고 덧붙였다.

이에 대해 닉스테크 박동훈 대표는 “지난 2월 25일 처음 KISA로부터 연락을 받았다. 우리의 PC보안 제품에 보안취약점이 발견된 것은 맞지만, 코드사인의 탈취와는 직접적인 관련이 없었다”고 말했다. 이어 그는 “해당 취약점에 대해서는 당일 패치를 만들었고 패치 적용에는 시간이 좀 걸리기 때문에 우선 고객들에게 공문을 보내 알렸으며 관련 포트를 차단했다. 지난 3월 30일까지 해당 제품 사용고객의 90% 이상이 패치 작업을 완료했다”고 말했다.

또한, 박 대표는 “보안제품에서도 보안 취약점이 나올 수 밖에 없다. 문제는 보안 솔루션 업체가 자사 제품에 새로운 취약점이 발견됐을 때 얼마나 빨리 적극적으로 대응하느냐이다. 이로 인해 기업의 이미지와 신뢰도 평판에 영향을 줄 수 있다”면서 “지난 2월 코드사인 이슈가 발생한 업체도 우리 제품을 사용하는 고객인데, 유지보수 계약이 끝났지만 유지보수를 해줬다”면서 “잘못된 언론 보도가 기업의 신뢰도에 나쁜 영향을 미치는 일은 없어야 한다”고 말했다.

NH농협 남승우 부행장은 “처음 이러한 사실을 알았을 때는 이미 3개월 전에 일어났던 일이었다. 인터넷 뱅킹 프로그램이 악성코드에 감염된 것으로 파악했다. 이에 새로운 프로그램을 만들어 테스트를 거쳐 배포하기까지 약 한달 이상 걸리는 작업이라고 파악했고 100여명 정도가 1주일 가량 작업해 배포했다. 이러한 상황에서는 단순하게 패치만 하면 끝나는 것이 아니라 코드 값까지 수정해야 하는 상황이라서 복잡한 작업이었다”고 말했다.

이어서 그는 “보안 솔루션을 사용하는 입장에서 국산 솔루션의 수준이 글로벌 제품을 넘어설 필요가 있다. 그래야만 국내 정보보호 산업이 발전할 수 있다. 또한, 금융회사 입장에서 외산 주요 벤더의 유지보수 단가와 국산 제품의 유지보수 단가의 차이에 따른 현실적인 어려움도 있다”고 말했다.

금융보안원 침해대응센터 이현제 부장은 “이번 사건은 정보보호 업체의 정보보호 관리수준의 문제로 접근해야 한다. 금융회사와 정보보호 업체 간의 정보공유도 문제다. 문제가 된 해당 솔루션을 사용하는 회사를 파악하는 것도 어렵다”고 지적했다.

이어 그는 “앞으로 금융회사와 정보보호 전문업체간 상호 신뢰가 강화되어야 하고 사고 발생 시 사실을 빨리 알리고 대응해야 기업의 신뢰도에 영향이 적어진다. 사고예방도 중요하지만 적극적인 사후 대응조치도 매우 중요하다”고 강조했다.

고려대 정보보호대학원 김인석 교수는 “예전에는 이러한 사고의 경우, 해당 금융회사와 보안업체를 소집해서 대안을 마련했을 것이다. 하지만 최근엔 스스로 자율규제를 하도록 하고 있다”면서 “무엇보다 일원화된 관리체계가 필요하다. 또한 사고 발생시 피해에 대한 보상과 책임소재를 가리는 것도 중요하다. 앞으로는 자율규제와 금융거버넌스 차원에서의 상생을 통해 공동의 대응방안을 마련해야 한다”고 말했다.

이에 대해 KISIA 문재웅 수석부회장은 “최근의 코드사인 탈취 사고는 전체 보안제품에 대한 신뢰성 문제로 이어질 수 있다. KISIA에서도 앞으로는 신속한 대응방안을 강구해 나갈 계획이다. 이를 위해 고객사와의 긴밀한 의견 조율, KISA 및 미래부와의 협력을 통해 해결창구를 마련할 방침”이라면서 “고객들은 보안제품을 도입할 때 가격보다는 기술로 결정해야 정보보호 산업이 발전할 수 있다”고 강조했다.

코드사인은 아무 기업이나 받을 수 없다. 발급기관은 해당 기업이 확인되고 신뢰성이 확보되어야만 코드서명 인증서를 발급한다. 해커들이 이 코드사인을 탈취하면 악성코드를 ‘보안 프로그램’으로 둔갑시켜 대량 배포할 수 있다는 점에서 이번 토론회는 코드사인의 보안관리가 매우 중요하다는 점을 다시금 인식하는 계기가 됐다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>