Part 4. PC 보안? 기본 보안설정부터
보안 편의성, 보안 의식, 낡은 시스템 등 총체적 난국

[시큐리티월드 김경애] 지금까지 시스템과 관리부분에 대한 이야기를 했다. 그렇다면 가장 마지막 관문이던 PC는 어떻게 보완해야할까? 조만간 발표될 ‘정부청사 보안대책’에 있어 보안전문가들은 다음과 같은 사항들이 반드시 반영되어야 한다고 입을 모았다.

\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n
1. OS에서 제공하는 기본적인 보안설정 적용해야
이번 사건에서 PC보안 측면에 있어 보안전문가들은 패스워드 인증 등 보안성 문제, 편의성 문제, 직원들의 보안의식, 낡은 시스템, 예산 등을 주요 보안이슈로 지적했다.

먼저 패스워드 인증과 관련해서 공무원 응시생은 지난 3월 26일 인터넷을 통해 PC 비밀번호를 해제할 수 있는 OS 프로그램을 사용했다. 이를 통해 윈도우 패스워드 인증과정 없이도 접속할 수 있었고, 성적과 합격자명단을 조작했다. 여기서 문제는 OS 구동을 시켜주는 프로그램 시모스(CMOS)에서 암호화 설정이 되어 있지 않았다는 점이다.

이와 관련 지인소프트 서용석 연구부소장은 “PC 암호를 모르면 컴퓨터를 켤 수가 없기 때문에 시스템상 OS를 구동시켜 주는 프로그램인 시모스에서 암호를 설정해야 한다”며, “당시 공시생은 시모스 비밀번호와 필기시험 성적·합격자 명단 문서의 암호가 설정되어 있지 않아 USB에 담아온 우회 프로그램으로 접속할 수 있었다”고 설명했다. 물론 시모스에서의 암호설정이 완벽한 보안방법은 아니지만 기본적으로 OS에서 제공하는 보안프로그램을 적용하는 것이 바람직하다는 설명이다.

다른 방법으로는 디스크 암호화를 적용했어도 차단이 가능했다는 설명이다. 디스크 암호화의 경우 비정상적으로 로그인됐을 때 특정 파일과 디스크에는 접근하지 못하도록 차단할 수 있기 때문. 이에 대해 서용석 부소장은 “OS에서 제공하는 암호화 방법을 사용하고, 디스크 전체를 암호화하는 비트락커(Bit Locker) 드라이브 암호화를 사용했다면 정상적으로 패스워드를 입력하지 않았을 때 디스크 파일과 암호화된 파일에 대한 접근을 막을 수 있었다”며, “윈도우 비스타 이상 버전이면 해당 서비스는 제공된다”고 밝혔다.


2. 보안 시스템, 보안성과 편리성 겸비해야
또 다른 문제점으로는 보안 시스템의 편리성이 미흡했다는 점이 제기됐다. 정보보안 지침에 따르면 컴퓨터 부팅시 시모스에서, 윈도우 운영체제에서, 화면보호기 단계에서, 주요 문서 등 각각의 단계마다 암호를 설정해야 한다. 그러나 이러한 규정은 보안의 피로도를 높이고, 사용자의 편의성을 감소시켜 보안규정 위반을 부추기는 꼴이 될 수 있다.

고려대학교 이상진 교수는 “컴퓨터 부팅시 윈도우 계정만 암호화하고, 중요 파일의 경우 암호화 없이 저장한 것도 문제지만, 여러 단계에 걸쳐 패스워드를 설정하는 것은 사람을 너무 불편하게 한다”며 “차라리 윈도우 시스템에서 제공하는 원격 인증 서버를 사용하고, 로컬에서 단독으로 부팅되지 않도록 했다면 사고 예방도 되고, 불편하지도 않았을 것”이라고 말했다.

이는 결국 보안에 대해 지키기 힘든 규정을 무조건 지키라고만 하는 건 문제가 있다는 얘기로, 잘못 설계된 시스템은 없는지 다시 한 번 살펴보고 잘못된 점은 개선해야 한다는 의미다.

3. 노후 시스템, 개선 필요
다음으로는 노후된 시스템 환경도 도마 위에 올랐다. 현재 문제가 된 PC버전은 윈도우7으로 알려져 있다. 윈도우7의 경우 2015년 1월 13일부로 마이크로소프트의 일반서비스가 종료돼 특정 프로그램을 사용할 때 윈도우와 연동이 안 될 수 있는 등 보안에 취약할 수밖에 없다.

연장서비스의 경우도 2020년 1월 14일까지 지원받을 수 있지만 보안 업데이트만 가능하기 때문에 지능화된 공격을 대비하기엔 다소 무리가 있다. 이에 대해 한 보안전문가는 “노후된 시스템 환경에서 3개월 주기의 암호 변경과 함께 5단계에 걸쳐 암호를 정해놓은 규정 등은 현실적으로 무리한 요구사항”이라며, “윈도우7은 MS에서 일반서비스 지원도 종료된 상황이라 노후된 시스템에서 패스워드 설정만 강요하는 건 무리가 있다”고 지적했다.

4. 보안의식 제고와 예산 확보 선행돼야
공공기관의 미흡한 보안예산도 문제로 떠올랐다. 기본적인 보안체계를 유지할 수 있도록 정보보호 예산이 일정 퍼센트 이상이라도 확보되어야 하지만 현실은 그렇지 못한 실정이다. 일례로 공공아이핀 정보유출 사건을 예로 들 수 있다.

공공아이핀 유출사건에서도 노후된 시스템이 문제로 지적됐다. 뿐만 아니라 본지가 인터뷰한 각 정부부처 보안담당자들의 애로사항은 대부분 보안예산 부족이었다. 현재 보안예산만으로는 날로 지능화되고 있는 사이버보안 위협을 감당하기에는 무리라는 얘기다.

이와 관련해 행자부 김주이 과장은 “현재 예산확보 단계까지 논의되진 않았다”면서도 “만약 예산이 필요하다면 점검결과에 따라 예산을 책정하고, 확보된 예산을 바탕으로 단계적으로 보안대책을 추진해 나갈 것”이라고 말했다.

5. 가장 기본은 관리적 보안
마지막으로 보안전문가들은 관리적 보안의 중요성을 꼽았다. 다양한 보안 시스템을 도입하더라도 완벽한 보안은 없기 때문에 뚫릴 수 있다는 것. 따라서 보안의식이 무엇보다 중요하고, 이를 위해선 실효성 있는 교육과 함께 관리 프로세스에 신경 써야 한다는 설명이다.

이와 관련 서용석 부소장은 “평상시 보안 테스트를 습관화해야 한다”며 “이를테면 매월 셋째 주 수요일은 내PC 지킴이 등을 통해 자동 점검하고, 공공기관에서 요구하는 보안항목을 잘 준수했는지 기입해 제출하는 온라인 시스템을 운영하는 것도 방법이 될 수 있다”고 제안했다.

[글 시큐리티월드 김경애 기자(sw@infothe.com)]

[월간 시큐리티월드 통권 232호(sw@infothe.com)]

<저작권자 : 시큐리티월드(http://www.securityworldmag.co.kr) 무단전재-재배포금지>