단독정부, 출연연 '보안 우려 SW' 긴급 삭제

과기정통부·국정원, 합동점검
원자력연 해킹 후속조치 일환
업체 "SW 취약점 아니다" 해명

게티이미지뱅크
게티이미지뱅크

과학기술정보통신부와 국가정보원이 한국전자통신연구원(ETRI) 등 정부출연연구기관(출연연) 대상 합동 보안점검에 나섰다. 최근 한국원자력연구원이 북한 해킹 조직의 공격을 받은 데 따른 후속 조치로, 특정 소프트웨어(SW) 긴급 삭제 지시도 내려져 추이가 주목된다.

23일 정부 고위관계자에 따르면 과기정통부와 국정원은 전날인 22일 ETRI 대상의 합동 보안점검을 실시했다. 점검은 원자력연 침해사고 발생 뒤 긴급 추진됐다. 정부가 운영하는 웹서비스에서 발견된 특정 SW의 취약점 확인 차원도 있다.

과기정통부 관계자는 “원자력연 해킹 사건 이후 다른 출연연에도 보안상 미흡한 점이 있는지 점검한 것”이라면서 “ETRI 외 다른 기관으로도 점검을 확대 실시할 예정”이라고 말했다. 이 관계자는 “합동 보안점검에 특정 기간을 정해 둔 것은 아니다”라고 덧붙였다.

이보다 앞서 21일에는 각 출연연에 보안 취약점이 있는 특정 SW를 삭제하라는 정부 당국의 공지가 전해졌다. 해당 SW는 국내 전자문서 업체 솔루션으로, 정부 서비스에 다수 적용됐다. 한국인터넷진흥원(KISA)은 SW에서 보안 취약점을 발견한 뒤 개발사에 개선을 요청했다. 국정원은 출연연에 해당 SW 삭제를 공지했다.

출연연 내부에 공유된 안내 내용을 보면 “과기정통부에서 이번 사안을 중요하게 보고 있다”면서 “금일(21일) 내 삭제 완료와 결과 보고를 요청한다”고 적었다. 실제로 출연연 내부에서는 이날 공지 받은 즉시 부서별로 각 PC에 설치된 해당 SW를 삭제 조치하고 결과를 보고한 것으로 알려졌다.

SW를 개발·공급하는 회사 측은 자사 SW 자체 취약점은 아니며, 플러그인 방식의 론처 파일로 인한 취약점이라고 설명했다. 출연연에서 해당 SW를 전량 걷어내고 있는 것과 관련해 각 기관에 해명 공문도 발송하고 있다.

회사 관계자는 “각 기관에서 문서 리더를 배포·설치할 때 생성되는 론처 파일의 취약점이 지적된 것”이라면서 “플러그인 방식 자체에 취약점이 있는 것이지 SW 취약점은 아니기 때문에 플러그인을 쓰지 않는 단말은 안전하다”고 강조했다. SW 삭제 명령이 내려진 것에 대해서는 “정부 서비스에 다수 적용된 만큼 영향력이 크다고 봤기 때문”이라고 해명했다.

이 관계자는 “플러그인 기반 론처의 경우 특정 포트를 구동하게 하는 방식으로 공격자에 의한 악의적 활용 가능성이 있는 만큼 제거가 권고된 것”이라면서 “문제가 된 정부 웹서비스에 대해서는 보안 조치를 완료했으며, 다른 기관에도 공문을 발송하는 등 보안 조치를 하고 있다”고 덧붙였다. 회사가 각 기관에 발송한 공문 내용에는 '론처 실행파일을 통해 SW가 설치되는 경우 실행파일에 보안 조치가 필요하다'고 명시됐다.

보안업계는 원자력연 해킹 사건이 주요 공공기관을 겨냥한 침해사고 시발점이 될 것으로 보고 있다. 업계 관계자는 “원자력연 해킹 이후 침해사고가 줄줄이 이어질 것으로 보이는 상황”이라면서 “해킹 시도가 급증하는 만큼 국가 차원의 보안점검이 필요한 시점”이라고 말했다.

한편 원자력연은 북한 해킹조직 김수키(또는 '탈륨')에 의해 직원 연번(아이디), 비밀번호, 개인 휴대폰 번호, 직책 등이 공유된 것으로 파악됐다. 대만 인텔리전스 업체는 김수키를 추적, 감시하던 과정에서 김수키 소속 해커 간 이 같은 목록이 오간 정황을 파악하고 국내에 경고해 왔다.

오다인기자 ohdain@etnews.com