'해킹 통로'된 보안제품…"ISMS 인증으로 풀자"

"보안업체 인증 받게 하면 개발 보안 활동 확인 도움"


[김국배기자] 국내 정보보안 제품들이 보안 취약점 등으로 사이버 공격에 악용되는 일이 잦아지고 있다.

이에 따라 자체 보안에 소홀하다는 지적과 함께 '개발 보안'을 위해 보안업체를 정보보호관리체계(ISMS) 인증 의무화 대상에 포함시켜야 한다는 주장이 흘러나오고 있다.

4일 보안업계에 따르면 최근 이니텍, 닉스테크 등 국내 보안업체들의 보안 솔루션에서 취약점이 발견됐고 이를 악용한 악성코드가 유포되는 일까지 벌어졌다.

뒤이어 한국인터넷진흥원(KISA)이 지난달 29일과 30일 각각 두 제품에 대한 보안 공지를 올려 사용자 주의를 당부했다.

해당 제품은 이니텍의 인터넷뱅킹 보안 솔루션 '이니세이프(INISAFE)'와 닉스테크의 내부정보유출방지 솔루션 '세이프(Safe) PC'의 특정 버전이다.

이니세이프는 액티브X 취약점으로 파일 업데이트 시 무결성 검증을 우회한다. 세이프PC는 파일 배포 기능을 악용한 악성코드 유포와 원격코드 실행이 가능한 취약점이 발견됐다.

두 회사 제품이 사이버 공격에 악용된 건 이번이 처음이 아니다. 올초 이니텍의 코드서명이 유출되는 사건을 겪었고, 이 과정에서 닉스테크의 세이프 PC 취약점이 쓰였다.

이 때문에 당시 코드서명에 대한 체계적인 보안 관리가 필요하다는 목소리가 커지기도 했다. 코드서명은 온라인 환경에서 배포되는 실행 파일이 위·변조되지 않았다는 것을 확인하는 방법이다.

그러나 이런 일이 반복되면서 국내 보안업체가 개발 보안 등 자체 보안에는 소홀한 것이 아니냐는 지적까지 나오고 있다. 보안업계의 영세성이 이를 부추긴다는 분석도 있다.

실제로 금융감독원 전자공시시스템에 공시된 분기보고서에 따르면 이니텍의 지난해 매출액 대비 R&D 투자 비율은 불과 3.4%에 불과했다. 2014년 4.8%에서 더 줄었다. 그나마 닉스테크의 경우는 13.98%로 상대적으로 높았다.

개발자라고 해서 꼭 보안에 대한 전문성을 갖춘 것은 아니라는 점도 이런 문제를 일으키는 배경으로 해석된다.

보안 업계 관계자는 "대부분의 개발자는 보안에 대해 별로 신경쓰지 않는 데다 안전한 코딩에 대해 교육을 받아본 적이 없는 경우도 많다"고 지적했다. 보안을 고려하지 않고 개발을 진행할 가능성이 높다는 뜻이다.

이런 가운데 일각에선 보안업체가 ISMS 인증을 받게 하는 것이 도움이 될 수 있다는 주장이 제기된다.

이를 통해 프로그램 개발 정책, 개발자 자체의 보안 준수에 대한 정책까지 개발 보안 정책 수립과 계획, 이행을 확인할 수 있다는 이유에서다. 즉, 인증을 받는다고 시스템이 뚫리지 않는 것은 아니지만 개발 보안 활동이 제대로 돌아가는지 볼 수 있다는 뜻이다.

13개 통제 분야에서 정보보호 대책을 요구하는 ISMS 인증 기준에는 분석 및 설계 보안 관리 등을 내용으로 하는 시스템 개발 보안 분야도 포함돼 있다.

현재 ISMS 대상은 인터넷 서비스 사업자(ISP), 인터넷데이터센터(IDC) 사업자, 정보통신서비스 제공자 등이다. 최근엔 병원, 대학 등이 의무 대상에 추가됐다.

한 국내 기업 최고정보보호책임자(CISO)는 "보안업체가 영세하고 보안의식이 떨어지다 보니 자체 보안을 소홀히 하는 듯 하다"며 "보안 회사들이 ISMS 인증을 받게 하면 개발 보안도 보게 되니 훨씬 나을 것"이라고 말했다.

김국배기자 vermeer@inews24.com

관련기사


포토뉴스