은행과 공공기관에 접속할 때 필수적으로 설치해야 하는 ‘이니세이프’에 이어 ‘베스트서트’ 등에서도 보안상 허점이 확인됐다. 이니세이프는 북한 해커가 국내외 기관 60여 곳을 공격할 때 활용한 프로그램이다. 사용자가 의무적으로 내려받아야 하는 보안 프로그램이 해킹 통로가 됐다는 우려의 목소리가 나온다.
국가정보원은 5일 경기 성남시 사이버안보협력센터에서 과학기술정보통신부, 한국인터넷진흥원(KISA) 등과 긴급회의를 열었다.
이니세이프 보안 문제를 확인하는 과정에서 인증서 관리 프로그램 베스트서트의 보안 취약점을 발견했기 때문이다. KISA 등은 이 밖에 △터치엔키(키보드 보안) △케이에스서트(인증서 복사) △아이피인사이드(IP 추적) △베라포트(패키지 관리) 등에 대한 긴급 패치 작업도 했다.
업계에서는 “올 것이 왔다”는 반응이 나온다. 보안 프로그램을 내려받는 전통적인 방식으로는 첨단화하는 해킹 공격을 막을 수 없다는 지적이다. 정부는 2020년 공인인증서 제도를 폐지했지만, 보안 프로그램과 민간인증서 제도는 계속 유지하고 있다. 금융회사와 공공기관의 암묵적인 요청 때문이다. 정부 지침만 준수하면 해킹 등 보안 사고가 발생해도 책임을 보안업체에 미룰 수 있다. 문제는 외주 보안업체의 기술 수준이다. 소프트웨어 단가를 낮추기 위해 수십 년 된 프로그램을 땜질하는 사례가 비일비재해 첨단화한 해킹 수법에 속수무책으로 뚫리고 있다.
KISA 등에 보안 프로그램의 허점을 제보한 광고 차단 프로그램 ‘애드블록’ 개발자 블라디미르 팔란트는 “한국의 보안 시스템이 막다른 골목(dead end)에 다다랐다”고 지적했다. 보안업계에서는 미국 등 주요국처럼 기업과 기관이 자체적으로 보안 문제를 책임지게 해야 한다는 목소리가 나온다.
김진원 기자 jin1@hankyung.com
