‘취약점’ 저격 당한 국내 보안업계 “국내 환경 이해 부족”

[이뉴스투데이 김영욱 기자] 세계 점유율 1위 광고차단 프로그램 ‘애드블록 플러스(Adblock Plus)’ 개발자 블라디미르 팔란트(Wladimir Palant)가 국산 보안 프로그램 취약점을 공개하며 국산 보안 솔루션 문제점이 화제다. C언어를 사용하는 등 과거에 머물러 해커들로부터 공격받기 쉽다는 것. 그러나 국내 보안업계는 한국 보안 시장에 대한 이해 부족에서 비롯한 잘못된 지적이라는 반응이다.

독일 개발자 팔란트는 지난 2일 개인 블로그를 통해 한국 보안 프로그램에 문제가 있다고 주장했다. 

팔란트는 PC로 은행 업무를 볼 때 필수적으로 깔아야하는 보안 프로그램인 △INISAFE △AhnLab Online Security(AOS) △TouchEn nKey △IPInside-LWS △Copy Certificates to Smartphones를 조명하며, 9일부터 2주 간격으로 보안 프로그램 취약점을 공개할 것이라고 예고했다.

보안업계에서는 취약점을 제보한 지 90일 이내에 이를 수정하도록 하는 관행이 있다. 팔란트에 따르면 이들에 대한 보안 취약점을 한참 전에 팔란트가 프로그램 제작사나 한국인터넷진흥원(KISA) 제보했는데, 계속 수정되지 않아 해당 프로그램을 2주 간격으로 90일이 되는 시점을 맞춰 공개한다는 설명이다.

그리고 지난 9일 팔란트는 라온시큐어의 ‘TouchEn nxKey’ 취약점을 공개하며 ‘노쇠화’를 지적했다. ‘TouchEn nxKey’은 주로 키보드 보안을 담당하는 프로그램이다. 액티브X(ACTIVE X) 영향으로 국내 보안 프로그램은 아직까지 브라우저 확장 기능을 활용해 사용자 정보를 암호화하고 있다.

팔란트는 “액티브X를 활용하지 않는 지금 (시점에서) 브라우저 확장 기능은 매우 오래된 기술이며, 특히 (한국내) 보안프로그램을 설계할 때 C언어를 많이 사용하고 있다”며 “C언어는 매우 오래전에 사용하던 개발 언어로 취약점이 잘 알려져 있어 해커들이 이를 악용해 자신들이 원하는 악성코드를 실행시킬 수 있다. 개발 언어를 C++로 바꿔야 한다”고 지적했다.

팔란트는 해당 취약점을 2022년 10월 한국인터넷진흥원(KISA) 인터넷보호나라(KRcert)에 먼저 신고했다. 이번에 그는 라온시큐어와 직접 연락하고자 했지만 연락 수단이 전화번호 외에는 없었다고 밝혔다.

이 같은 언급에 라온시큐어는 12일 이뉴스투데이와 통화에서 다른 의견을 제시했다. 

라온시큐어 관계자는 “지난해 KISA로부터 전달받은 내용을 바탕으로 해당 취약점을 보완하는 패치를 개발 완료했다. 하지만 이용사 일정에 맞춰 적용해야 해서 아직 배포하지 못했다”고 해명했다.

이어 그는 “솔루션 취약점에 대한 공유는 솔루션을 발전시킬 수 있어 바람직하다”며 “그러나 이번 건(취약점 지적)은 국내 보안 시장 환경자체를 충분히 이해하지 못했다고 본다”고 반박했다.

그는 “키보드 보안은 호환성이나 시스템 레벨 접근과 같은 권한이 필요한 특이상황으로 C언어를 사용할 이유가 있다”며 “개발사가 환경이나 특성에 맞게 언어를 선택해 개발하고 있고, C++이 C보다 더 좋다고 해서 무조건 변경해야 하는 것은 아니다”라고 말했다. 건축 양식이 각 나라 환경에 맞게 발전하듯 보안 프로그램도 한국 상황에 맞게 만들어지고 있다는 설명이다.

라온시큐어에 따르면 PC로 은행 업무를 볼 때 설치하는 보안프로그램은 서로 연계가 돼, 하나의 보안 프로그램이 해킹의 위험에 노출되더라도 (다른 프로그램 도움을 받아) 방어할 수 있다. PC로 은행 업무를 볼 때 설치하는 여러 보안 프로그램이 각자 담당 영역을 나눠 해킹 위협으로부터 방어하는데, 이것이 은행의 보안 대책이라는 설명이다.

라온시큐어 관계자는 “(팔란트가) 국내 상황을 충분히 이해하지 못한 상태에서 당장 개발 언어를 바꿔야 안전하다고 말하는 것은 단편적인 부분만 바라본 것”이라고 주장했다.

그는 “라온시큐어 내부 방침으로 KISA와 공식적인 루트를 통해 일을 진행한다”며 “취약점이 밝혀지면 KISA와 긴밀하게 협의해 개발 일정을 지속적으로 보고하며 진행하고, 이번에도 그 절차를 밟았다”고 이야기했다.

팔란트는 2주마다 다른 보안 프로그램 취약점을 공개할 예정이다.

보안업계 관계자는 “앞으로 어떤 보안 프로그램의 취약점을 지적할지 모르겠지만 이로 인해 국내 (보안) 환경이 더 좋아지면 쌍수를 들고 환영할 일”이라며 “다만 국내 보안 환경이 오랜 시간에 걸쳐 쌓여왔는데, 이를 (한순간에) 확 바꾸기는 어려울 것”이라고 말했다.

일부 커뮤니티 이용자들은 팔란트가 지난 2일 블로그에 공개했던 5종의 보안 프로그램 중 ‘TouchEn nxKey’에 대한 9일 공개한 것으로 보아 사진에 있던 다른 보안 프로그램에 대한 취약점을 공개하는 것이 아니냐고 의문을 제기했다.

목록에 포함된 프로그램을 제작한 안랩은 팔란트로부터 메일을 받지 못했다고 설명했다.

안랩 관계자는 “지난해부터 올해 1월 11일까지 확인 결과 해당 블로거로부터 제보를 받은 적이 없다”며 “해당 블로거가 기관에 신고한 것으로 보이나 안랩은 유관기관으로부터 금융보안 솔루션 내용으로 취약점 패치 권고와 같은 안내메일을 받은 적이 없다”고 말했다.

팔란트가 국내 보안 프로그램 취약점을 공개하면서 국내 보안업계와 보안 프로그램에 대한 관심이 높아진 가운데 2주 뒤 어떤 보안 프로그램의 취약점을 공개할지 귀추가 주목된다.