사이버 보안 제품에 취약점이 발견될 수 있다는 점을 인지하고, 관련 내용을 숨기지 말고 적극 대응하는 문화 확산이 필요하다.
한국정보보호학회는 28일 한국과학기술회관에서 `제22회 정보통신망 정보보호 콘퍼런스`를 열고 정보보호산업발전 토론회를 열었다. 산학연 관계자는 최근 발생한 보안 기업 디지털인증서(코드사인) 유출 사고 원인과 대응책을 논의했다. 참여자들은 보안제품이라도 취약점이 발견될 수 있는 사실을 인지하고 신속한 정보 공유와 패치 업데이트를 강조했다. 사이버 보안 기업 자체 보안 강화도 주문했다.
박동훈 닉스테크 대표는 “보안 제품에 취약점이 발견되고 패치를 내놔도 고객 내부 결제에 상당한 시간이 걸린다”며 “보안 패치 시급성을 이해하는 문화가 필요하다”고 말했다. 박 대표는 “국내 고객은 기업별로 보안제품 커스터마이징을 과도하게 요구한다”며 “커스터마이징된 제품은 패치 개발에 긴 시간이 소요된다”고 덧붙였다.
문재웅 한국정보보호산업협회 수석부회장은 “앞으로 협회는 미래부, 한국인터넷진흥원(KISA)과 함께 사고 발생 시 신속히 조치하는 창구를 마련했다”며 “자동차 기업이 리콜을 하는 것처럼 대처하겠다”고 말했다.
이현제 금융보안원 침해대응부장은 “코드사인 유출 사고 때 관련 정보 공유가 원활하지 않았다”며 “보안기업은 침해 사고 상황 대응 매뉴얼이나 비상연락망을 갖춰야 한다”고 지적했다. 이 팀장은 “사이버 보안 기업 스스로 제품 내 취약점을 찾는 노력도 해야 한다”며 “금융기업과 보안 기업 간 신뢰를 쌓아야 한다”고 덧붙였다.
남승우 NH농협은행 부행장은 “금융회사는 보안프로그램 패치 수준이 아니라 전체 프로그램을 다시 배포해야 하는 상황이었다”며 “프로그램을 잘 못 배포했다가 고객 불편이 가중될 수 있어 안전성 확보와 시급성 사이에서 고민했다”고 말했다. 그는 “국내 보안 기업 자체 보안 거버넌스를 갖춰야 한다”고 밝혔다.
김인석 고려대 교수는 “금융권이나 사용자는 안전하고 신뢰성 높은 보안 제품을 원한다”며 “한국정보보호산업협회와 금융회사 최고정보보호책임자(CISO) 등이 함께 협의체를 만들어보자”고 제안했다.
박상환 한국인터넷진흥원 팀장은 “대부분 소프트웨어 개발자가 기업 코드사인을 관리하는데 심지어 외주 용역 업체까지 공유한다”며 “코드서명에 대한 개발자 의식과 기업 관리 수준을 높여야 한다”고 말했다. 박 팀장은 “KISA가 코드서명 보안 관리부터 침해사고 대응 가이드라인을 마련했다”며 “코드사인 뿐만 아니라 업데이트 서버가 탈취 공격도 신경 써야 한다”고 강조했다.
김인순 보안 전문기자 insoon@etnews.com