보안SW 코드서명 인증서 유출 사고 경험담 : 시사점과 대응책은 무엇?

금융사에서 널리 사용하는 보안 소프트웨어 제품에서 해킹에 의해 코드서명 인증서가 유출됐거나 보안 취약점이 발견된 경우 어떻게 대응해야 할까?

일단 해당 보안업체는 이 사실을 숨기려하지 말고 즉각 고객사와 관계기관에 알려 피해 방지를 위한 긴급 조치를 실시해야 한다. 새로운 코드서명 인증서나 보안패치를 개발, 전 고객사가 적용할 수 있도록 빠르게 준비해야 한다. 기업 평판이 훼손되고 신뢰성에 큰 타격을 입을까 무서워 사실을 숨기려한다면 더욱 큰 후과를 남길 수 있다. 보안사고 긴급대응이 지체될 수 있기 때문에 피해만 확산시킬 수 있기 때문이다. 그리고 세상에는 비밀이 없다.

한국정보보호학회 주관으로 28일 한국과학기술회관에서 열린 ‘제22회 정보통신망 정보보호 컨퍼런스(NETSEC-KR 2016)’에서 정보보호 산업발전을 위한 토론회가 열렸다. ‘코드사인 이슈, 해결을 넘어 상생과 발전을 위하여’라는 주제가 내걸렸다.

이 토론회는 지난 2월 금융보안 제품 코드서명 인증서 유출 사고를 주축으로 잇달아 보안업체 해킹 사고 발생에 따른 논란과 시사점을 정리해보고 향후 대응책을 논의하기 위한 자리로 마련됐다. 이경호 고려대 교수가 좌장을 맡아 이 사고에 직간접적으로 연관돼 긴급 대응에 관여한 주체들인 보안업계와 금융사, 금융보안원, 한국인터넷진흥원(KISA)을 대표하는 토론자들이 참석했다.

사본 -IMG_2413[1]보안업체조차 보안관리체계 ‘소홀’, 제품 신뢰성 확보 노력 필요

이 자리에서는 가장 먼저 보안업체들이 제품 개발시 사용하는 코드서명 인증서의 체계적인 보안관리가 필요하다는 점이 지적됐다.

토론자로 참석한 박상환 KISA 팀장은 “코드서명 인증서는 대개 개발자가 관리하는데 PC에 개인키와 함께 인증서를 보관하고 심지어 외주용역 업체에까지 공유해 테스트하는 경우도 있다”며 “개발자들의 보안인식과 코드서명 인증서 보안관리에 소홀한 것인데, 체계적인 보안관리가 필요하다”고 강조했다.

소프트웨어 제품의 코드서명 인증서가 탈취, 악용되면 정상 소프트웨어로 가장한 악성코드가 유포될 수 있어 위험하다. 사용자들은 정상 소프트웨어로 오해하고 의심없이 설치해 악성코드에 감염되는 피해가 발생할 수 있기 때문이다.

따라서 코드서명 인증서는 철저하게 보관·관리해야 한다. 담당자를 지정하고 안전한 저장매체에서 관리하는 것은 필수다. 인증서 관리시스템 보안관리도 방안도 적용해야 한다. 중앙 업데이트 체계 보안관리도 실시해야 한다. 만일 공격자에 의해 인증서가 탈취된 경우 즉각 인증서 폐기절차와 새로운 인증서 배포작업을 수행해야 한다.

하지만 지금까지 보안업체조차도 이같은 코드서명 인증서 개발조직(연구소) 보안관리가 미흡했다. 사고대응 체계와 절차도 마련돼 있지 않아 해당 보안업체나 금융사에서 어려움을 겪기도 했다.

경험이 변화를 부른다. 이 사고 이후 미래창조과학부와 KISA는 코드서명 인증서 관리 강화를 위한 ‘코드서명 인증서 보안 가이드’를 마련·배포했다.

코드서명 코드서명 인증서 보안 가이드개발업체·고객사간 ‘시급성’ 인지 간극, 긴급패치 신뢰성·안정성 문제도 

일반 소프트웨어(SW)나 보안 SW에서 심각한 제로데이 보안 취약점이 발견된 경우 코드서명 인증서 유출 사고와 비슷한 사고 대응 프로세스를 운영해야 한다.

하지만 긴급하게 패치를 적용해야 하는 사안에도 고객사에서 ‘긴급성’을 인지하지 못해 미루려 하거나 내부 결재 프로세스로 인해 지체되는 상황이 발생했다.

금융사 입장에서는 수많은 인터넷뱅킹 사용자 대상으로 SW를 재배포해야 하기 때문에 수많은 현실적인 문제를 고려해야 하는 것도 사실이다.

코드서명 인증서 유출 사고와 연관돼 긴급대응을 실시한 업체는 보안취약점이 발견됐다는 연락을 오후 3시와 5시에 두 차례 받은 즉시 패치를 만들어 다음날부터 적용할 수 있도록 준비했다. 고객사에는 공문을 발송하거나 전화통화·방문 등으로 사실을 전하고 패치 적용 전까지 포트차단 등 임시조치를 실시했다.

해당 사실을 인지해 제품을 사용하는 사실상 전체(90%) 고객사에 패치작업을 완료하는데 5일이 걸렸다. 패치 배포 등의 지원은 제품은 사용하고 있지만 유지보수 계약이 만료돼 재계약이 이뤄지지 않은 고객사에까지 적용됐다.

토론자로 참석한 박동훈 닉스테크 대표는 “적지 않은 고객사에서 긴급 패치 요청에 대한 임원 결재를 요구하기 때문에 시간이 걸린다. 패치 시기를 비수기로 돌리려 하기도 했다”며 “보안제품 패치를 적용하는 것이 서로를 위한 것이란 공감대가 필요하다”고 말했다.

SW 구축시 커스터마이징 요구, 보안패치 긴급 적용에 걸림돌 

박 대표는 우리나라 환경에서 패치 적용이 어려운 보다 근원적인 문제도 지적했다. “규모있는 고객은 보안제품이나 일반 SW 제품을 납품할 때 현업에서 필요로 하는 기능을 추가하는 등 뜯어고치길 원한다. 커스터마이징 요구다. 이로 인해 해당 제품 버전이 다양해져 패치를 적용하는데 추가 테스트 기간이 필요하다. 자칫 긴급 패치가 새로운 문제를 야기할 수도 있다. 향후 이에 대한 발전적인 논의가 필요하다.”

금융사도 어려움이 있는 것은 마찬가지였다. 남승우 NH농협은행 부행장(CISO)는 당시 상황을 이렇게 전했다.

“굉장히 시급하게 인터넷뱅킹 보안 프로그램의 기존 코드 값을 폐기하고 새롭게 적용해야 하는데 이 작업이 만만치 않다. 제대로 테스트해 배포하려면 최소한 보름, 품질관리 절차를 제대로 거치면 한 달이 걸리는 일이다. 보안 시급성과 SW 안정성에 많은 고민과 논의를 했다. 작년 말 액티브엑스(ActiveX)를 걷어내고 EXE를 적용하기 위한 테스트한 경험을 갖고 있어 시급하게 핵심 프로그램만이라도 적용하기로 결정했다. 100여명이 일주일 동안 밤낮 주말 가리지 않고 작업했고 혹시 고객 불만이 제기될 수 있어 콜센터도 비상대기시켰다. 150만명의 사용자가 다운로드한 이후에야 조금 안심할 수 있었다.”

남 부행장은 “이같은 긴급 조치가 이뤄져야 할 때 자체 엔지니어가 해결하지 못하는 일이 발생할 경우 해당 보안업체에서 상주하거나 빠르게 지원해줘야 한다. 문제가 있어 넘기면 바로 해결이 안된 경우도 있었다. 그런 점에서 전체 사고대응 프로세스를 고민해 봐야 한다”고 말했다.

사고 발생시 ‘정보공유’ 중요…체계적인 대응 프로세스 필요

금융사와 보안업체 간 정보공유가 미흡했던 문제도 지적됐다. 따라서 무엇보다 공급자와 수요자, 보안전문기관(유관기관) 간 체계적인 프로세스가 필요하다는 공감대가 형성됐다.

이현제 금융보안원 침해대응부장은 “코드서명 인증서 문제가 발생한 이후 보안 솔루션 취약점 이슈가 추가되는 과정에서 금융회사와 정보보호 업체간 정보공유에 다소 문제가 있었다. 신속하게 취약점 보완이 이뤄지긴 했으나 일부업체는 문제를 부정하거나 대응하지 않는다는 반응이 나오기도 했다”며 이번 상황에서 느낀 아쉬운 점을 지적했다.

이 부장은 “앞으로도 이러한 상황이 발생할 수 있기 때문에 대응 매뉴얼과 비상연락망 등 체계적인 대응체계가 필요하다”며 “금융사와 보안업체는 같은 배를 탄 입장이다. 양측이 함께 노력해야 하고 법제도적으로 필요한 조치가 강구돼야 한다”고 덧붙였다.

박 팀장 역시 “모든 보안 사고를 막을 수는 없다. 하지만 개발자 보안인식을 높여 인증서 보안관리를 잘 했으면 예방이 가능할 수도 있었다”며 “평소 보안관리가 중요하고 사고가 났을 때는 일원화된 관리체계가 운영돼야 한다”고 말했다.

이 부장은 특히 “피해기업은 사고가 발생하면 은닉할 것이 아니라 빠른 공유와 대응을 해야 한다. 그리고 보안사고 예방뿐 아니라 발생시 대응절차와 방안을 수립해 적극 대응해야 한다”고 당부하며 “이를 위해서는 유관기관과 적극적인 정보공유를 실시해야 가능하다”고 재차 강조했다.

금융권 보안제품 보안사고 방지, 현실적·제도적 방안 있나

이번 사고가 발생한 후 상당한 금융사에서 보안업체들의 개발 환경 안전성을 점검해야 한다는 요구가 나오고 있다.

이전 같으면 금융당국이 통제 방안을 마련했겠지만 자율보안 정책 기조 아래에서는 금융사 자율로 보안관리 방안을 마련하고 그에 따른 책임을 져야 한다.

김인석 고려대 교수는 “금융 현장에서는 이번 사고를 기술적 문제가 아니라 관리적 문제로 느낀다. 기술이 없어서 당한 것이 아니다. 좋은 기술력이 있어도 관리하는 사람들이 방심하면 발생한다. 보안업체는 이 부분을 고려해야 한다. 금융사는 철벽을 쌓아올렸는데 허가해준 사람에 의해 철옹성이 무너질까 걱정하고 있다”고 이번 사고를 바라보는 금융권 분위기를 전했다.

김 교수는 “금융사에 사고가 터져 피해가 발생하면 그에 따른 책임을 전자금융거래법이 규정하고 있다. 민간업체는 적용되지 않기 때문에 금융사는 고객이 피해볼 경우에는 우선 보상을 해주고 거래하는 업체와는 계약에 의해 구상권을 청구하는 방식이 맞을 수 있다”고 제안했다.

이어 “금융사 입장에서는 강력한 통제를 기반으로 안전하고 신뢰성 있는 제품을 사용하길 원한다. 하지만 규모가 작은 업체들은 자금력이 부족해 금융권이 요구하는 거버넌스, 통제 수준을 갖추는 게 어려울 수 있다”며 “서로 상생 방안을 고민해야 한다. 정보보호산업협회(KISIA), 금융사 정보보호책임자(CISO) 모임 등을 통해 소통하고 공동의 안을 만들 필요가 있다”는 의견을 밝혔다.

김 교수는 “금융권에서 보안업체 등을 전자금융거래법상 전자금융보조업자로 지정해 계약에 따라 정기적으로 금융사가 통제하고 점검결과를 금융감독원에 보고할 수 있는 체계를 제도화해야 한다는 의견이 나온다. 강력한 장치를 요구하겠지만 전자금융거래법상 전자금융업자(금융사)에 적용되는 정기 점검, 정보보호관리체계(ISMS) 인증, CISO 임명 등 강력한 통제를 규모가 작은 보안산업에 적용하는 것은 바람직하지 않다”고 덧붙였다.

보안업계 역시 KISIA 차원에서 재발시 신속 대처를 위한 방안을 강구하고 있다.

문재웅 KISIA 수석 부회장(제이컴정보 대표)은 “협회 차원에서 향후 보안 업체나 제품을 대상으로 발생하는 보안사고에 신속하게 대처할 수 있도록 방안을 강구했다. 창구를 마련해 고객사와의 의견 조율, KISA와 미래창조과학부, 금융보안원 등과 긴밀히 공조할 것”이라고 입장을 밝혔다.

보안업체 해킹·보안SW 취약점 발견 “국산제품만의 문제 아냐”, ‘대응조치’ 더 중요

한편 업계에서는 이번 사고가 자칫 국산 보안제품만의 문제로 치부하지 말아야 한다는 목소리도 냈다. “보안업체가 해킹 당했으니, 보안제품 코드서명 인증서가 탈취됐으니, 취약점이 발견됐으니 이제 국산 제품은 못쓰겠다”로 귀결시키는 것은 너무 과도하고 억울하다는 얘기다.

마이크로소프트 윈도, 어도비 플래시 플레이어, 안드로이드 등 널리 사용하는 글로벌 SW 제품뿐 아니라 시스코같은 네트워크 장비에서도 취약점이 빈번하게 발생하고 있고 맥아피, RSA 등 보안업체들마저도 해킹 경험을 갖고 있다. SW 제품이라면 취약점이 존재하거나 악의적인 해커에 의해 공격 받을 수 있다는 점에서 그 자체보다는 신속한 보안패치·업데이트 등 사후 긴급 대응조치가 더 중요하다는 의미다.

문 대표는 “보안은 창과 방패 간 끊임없는 싸움이다. 글로벌 기업이 해킹을 당하거나 보안 취약점이 발생한 것이 국내 보안업체가 영세해서나 국산 제품이 나쁘기 때문이라는 식으로 모는 것은 문제가 있다. 외국계 기업이나 글로벌 기업에서 취약점이 발견되고 해킹 당해도 해당 사실로 공격하는 경우는 많지 않다”고 토로했다.

이어 그는 “보안업계의 영세성을 인정하지만 이번 기회로 고객사와 보안업체간 관계도 갑과 을이 아닌 상생관계로 재정립할 필요가 있다. 영세성을 탈피할 수 있도록 보안제품 저가 구매, 외산 대비 3분의 1 수준의 낮은 유지보수 문제 등을 해결하는데 수요처에서도 노력해줘야 한다”고 강조했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다