오픈SSL 하트블리드 취약점이 세상에 알려지며 보안 제품은 물론이고 모든 소프트웨어 개발에 ‘시큐어 코딩’을 의무화해야 한다는 목소리에 힘이 실린다. 각종 인증을 획득한 보안 제품도 안전성을 담보할 수 없는 상황으로 내몰렸기 때문이다.
시큐어 코딩이란 해커 공격을 유발할 가능성이 있는 잠재적인 보안 취약점을 사전에 제거해 안전성이 높은 소프트웨어를 개발하는 기법이다.
하트블리드 취약점이 알려지자 국내 정보보호 기업은 패치 개발과 배포에 우왕좌왕이다. 보안 제품 상당수가 하트블리드에 노출된 오픈SSL 기술이 쓰인 것으로 확인된 탓이다. 문제는 이번에 취약점에 노출된 대부분 보안 제품이 정보보호시스템 평가 인증을 거쳤다는 점이다. 정보보호시스템 평가인증은 민간 기업이 개발한 보안 제품에 구현된 보안 기능의 안전성과 신뢰성을 보증해 사용자가 안심하고 제품을 사용하게 지원하는 제도다.
수개월이 넘는 평가기간을 거쳐 인증을 받아도 오픈SSL 하트블리드와 같은 대형 보안 구멍을 걸러내지 못했다. 결국 인증 받은 제품을 구입한 공공기관도 보안솔루션에 있는 하트블리드 취약점에 그대로 노출된다. 내부 네트워크와 서비스를 보호하려고 도입한 보안 제품이 해커 공격의 목표가 되는 셈이다. 실제로 지난해 3·20 사이버테러 사건을 비롯해 최근 해커는 윈도나 안티 바이러스 업데이트 서버 등 보안 솔루션 취약점을 악용한 공격을 늘렸다.
김승주 고려대 정보보호대학원 교수는 “영세한 국내 보안 기업은 오픈소스 소프트웨어를 그대로 가져다 제품을 개발하는 경우가 많다”며 “CC인증이나 암호모듈검증을 받아도 하트블리드와 같이 대형 취약점이 발견되면 속수무책”이라고 설명했다. 그는 “지난 2012년 전자정부에만 도입한 시큐어코딩 의무화를 전체 보안제품에서 각종 애플리케이션 소프트웨어 개발까지 모두 확산해야 한다”며 “정보보호 제품 자체의 안전성을 높이면 대형 공격 위협을 그나마 줄일 수 있다”고 덧붙였다.
김인순기자 insoon@etnews.com