국가정보원이 기반시설 보안 강화를 위해 패치·업데이트를 위한 일방향 전송 장비 도입을 승인한 것으로 확인됐다. 기존에는 보안 취약점이 발견되더라도 사람이 일일이 수동으로 패치해야 했지만, 이번 조치에 따라 위협 대응이 빨라질 것으로 기대된다.
22일 본지가 입수한 자료에 따르면 국정원은 올 상반기 기반시설 보안 관리 강화를 위해 패치·업데이트를 위한 일방향 전송 장비 설치·운영을 승인했다. 이에 따라 '공공분야 주요정보통신기반시설 보호대책 이행여부 확인 해설서'도 기반시설에 함께 배포됐다.
국정원은 외부로부터의 위협 유입 등 보안 우려로 인해 망분리 환경에서 온라인 패치·업데이트를 원천 금지해 왔다. 이 때문에 각 시설 보안 관리자는 보안 취약점이 나오거나 소프트웨어(SW) 업데이트를 해야 할 경우 CD에 패치·업데이트 파일을 담아 직접 비보안 영역과 보안 영역을 오가야 했다.
국정원이 일방향 전송 장비를 전격 승인한 것은 기반시설을 겨냥한 사이버위협이 세계적으로 심화한 데 따른 조치다. 앞서 미국 플로리다주 수처리 시설과 송유관 운영업체, 남아공 전력 공급업체 등은 해킹 공격을 받아 국민 생활과 안전에 직접적인 영향을 끼치는 이상상황과 장애가 발생한 바 있다.
기반시설에서 취약점이 발견될 경우 신속하게 패치해야 하지만 망분리 환경 아래 수동으로 작업해야 하는 한계에 따라 보안 관리자가 위협 대응의 '골든타임'을 지키기 어려웠다. 일례로 기반시설은 아니지만 국내 주요 연구기관인 한국원자력연구원 역시 지난 4월 국정원으로부터 가상사설망(VPN) 취약점 패치를 권고받은 뒤 북한 해킹조직에 의해 침투되기까지 약 한 달간 취약점을 패치하지 못한 것으로 알려졌다.
패치·업데이트를 위한 일방향 전송 장비는 실시간 보안 취약점 패치 이점 외에도 정보유출 우려를 불식한다. 비보안 영역에서 보안 영역으로만 자료 전송이 가능하기 때문에 보안 취약점 패치 등은 빠르게 수행하면서도 내부(보안 영역)에서 외부로 자료 반출은 불가능하다.
해외에서는 국제표준에 따라 망분리 환경에서 일방향 전송 장비가 이미 허용돼 왔다. 국제표준은 제어망과 업무망 사이에 비무장지대(DMZ)를 두고 일방향 자료 전송이 가능하도록 규정한다. 이번에 바뀐 국정원 해설서에서도 DMZ에 해당하는 '클린PC'에 준하는 보안 대책을 수립해 활용하라는 규정이 포함됐다.
패치·업데이트를 위한 일방향 전송 장비는 외부망으로부터 최신 보안 패치와 업데이트 파일을 수집한 뒤 이를 클린PC로 검사하는 과정을 거친다. 무결성이 검증된 파일만 내부망으로 전송하는 구조다. 외부망과 내부망이 물리적인 일방향으로 분리되는 '에어갭' 환경을 유지하므로 내부망으로부터 외부로의 정보유출은 차단된다.
이 같은 흐름에 따라 국내 보안업계에서도 관련 기술을 개발해 왔다. 운영기술(OT)과 산업제어시스템(ICS) 보안 전문업체 앤앤에스피는 비보안 영역에서 보안 영역으로 데이터를 일방향 전송하는 패치·업데이트 망연계 솔루션 '앤넷트러스트'를 개발했다. 회사 측은 지난해 8월 이 제품으로 공통평가기준(CC) 인증을 획득하고 행정안전부, 서울시 상수도사업본부 등에 구축을 마쳤다.
오다인기자 ohdain@etnews.com