보증기간을 훌쩍 넘긴 노후 네트워크 보안 솔루션 수백 대가 여전히 기업 인터넷 관문을 지키는 것으로 드러났다. 노후 솔루션이 장기 운영돼 보안 기능 저하와 장애 위험이 높다.
13일 전자신문 조사에 따르면 주요 기업에서 교체기간 5년을 훌쩍 넘긴 보안 장비가 700대가량 운영되고 있는 것으로 나타났다. 기업 보안 관문을 책임지는 중요 장비 교체 등 투자가 시급하다.
지능형지속위협(APT), 랜섬웨어, 개인정보 유출, 시스템·애플리케이션(앱)에서 발견되는 신종 취약점 등 보안 위협이 증가했다. 노후 보안 장비는 오히려 기업 보안에 취약점이다. 보안 장비지만 자체 취약점 등이 제대로 업데이트되지 않는다. 7~10년 전에 설치된 보안 장비는 급증한 취약점 데이터베이스(DB)를 업데이트할 메모리와 처리할 중앙처리장치(CPU) 용량이 부족하다. 최신 펌웨어와 보안 업데이트 적용에 한계가 있다.
A사는 2005~2009년 공공기관 등에 설치한 보안 장비 258대를 기술 지원한다. B사는 2003~2009년에 납품해 여전히 운영되고 있는 제품이 246대에 이른다. 특히 노후 제품 비중은 국내 인터넷 트래픽을 관리 감독하는 통신사가 높다. C사는 금융권과 기업이 평균 9년 동안 제품을 교체하지 않아서 지속된 기술 지원이 요구된다고 밝혔다. C사와 D사가 지원하고 있는 노후 장비는 100여대다.
보안 업계는 울며 겨자 먹기로 노후 장비 유지 보수를 지속하고 있다. 사후관리(AS)용 부품이 단종돼 장애 대응도 쉽지 않다. 일부 기업은 부품 단종으로 인해 고객이 운영하고 있는 노후 장비를 비용도 못 받고 상위버전 제품으로 교체했다. 가전과 자동차는 부품 보유기간이 상품 출시 후 최장 8년이다. 보안업계는 5년을 부품 보유기간으로 보는데 고객은 10년 이상을 요구한다.
A기업 대표는 “가전이나 자동차 AS용 부품 보유기간은 4~8년이지만 정보보안 제품은 10년 이상 요구하는 사례가 많다”면서 “노후 제품에 국제공통평가기준(CC) 인증 연장까지 요구함으로써 비용 부담이 크다”고 토로했다.
보안 전문가는 5년 이상된 장비는 장애 발생 위험이 높아 교체를 권고한다. 보안 솔루션 특성상 5년 전 사이버 위협과 현재 상황이 달라 노후 장비 기능과 성능에 한계가 있기 때문이다.
B기업 대표는 “보안 담당자는 예산 부족을 이유로 노후 장비 기술 지원을 계속 요구한다”면서 “부품 단종으로 대응 장비가 없는 데다 해당 기업이 이중화로 장비가 여러 대인 경우 부담이 급증한다”고 말했다. 그는 “새로운 사이버 위협에 대응하겠다는 기업이 수명이 다한 보안 제품을 교체하지 않는다”면서 “노후 장비가 제기능을 하지 못하면 관련 제조사에 책임을 전가한다”고 덧붙였다.
김인순 보안 전문기자 insoon@etnews.com