잇따른 보안 사고에 전문가 쓴소리 '제로데이 취약점 무방비 노출...순식간에 인프라 붕괴된다'

최근 대형 보안 사고가 잇따르면서 국내 사이버보안 시스템 전반에 대한 점검과 인식 전환이 필요하다는 전문가 제언이 나왔다.

국내 대표 화이트해커로 손꼽히는 박세준 티오리 대표는 11일 자신의 페이스북 계정을 통해 국내 금융 보안 프로그램 설치 의무화가 사이버 공격 위험성을 높인다는 한국과학기술원(KAIST) 연구 결과와 예스24 랜섬웨어 감염 소식을 인용하며 이 같은 점을 꼬집었다.

박 대표는 "다양한 보안 컨설팅·모의해킹 프로젝트와 연구를 진행하다 보니 사회·국가적 파장을 일으킬 수 있는 제로데이(0-day) 취약점을 수없이 발견한다"며 "최근 두 달만에도 그 종류와 수가 확연히 늘었다"고 지적했다. '제로데이'는 시중 백신 프로그램 등에 보안 패치가 되기 이전의 공격을 의미한다. 이 때문에 탐지가 어렵고 사후 패치로 대응하는 경우가 많다. 

박 대표는 "진심으로 우려스러운 건 여러 조직의 핵심 시스템이 의존하는 서드파티 솔루션들이 마음만 먹으면 제로데이를 무한대로 뽑아낼 수 있을 정도로 허술하다는 점"이라며 "그중 일부는 인터넷에 그대로 노출돼 있어 공격자가 손쉽게 내부망으로 직행할 지렛대의 역할을 한다"고 짚었다.

이어 "더 큰 문제는 이 소프트웨어들이 특정 기업만 사용하는 게 아니라는 것"이라며 "이름도 낯선 서드파티 제품들이 정부기관·지자체·통신·전력·국방·대기업·중소기업 등에 폭넓게 배포돼 있어 대한민국의 공공·민간 인프라가 동일한 약점을 공유하고 있다"고 부연했다.

박 대표에 따르면 이 같은 '공급망 공격'은 비교적 영세한 공급사·제조사를 우선 해킹해 고객사를 감염시키는데, 현재는 배포된 소프트웨어 자체가 너무 취약한 점이 문제로 드러나고 있다. 이런 취약점 탓에 한국 인프라 대부분이 한 순간에 파괴와 혼란으로 치닫을 수 있다는 게 그의 분석이다.

박 대표는 대부분의 치명적 취약점들이 '기본'을 간과한 곳에서 비롯된다고도 언급했다. 그는 북한이나 다른 적대 세력이 취약점들을 알고 활용한다면 은행 시스템 마비, 통신 두절, 전력망 차단 등 순식간에 국내 인프라가 붕괴되는 것을 목격하게 될 것이라고 우려했다. 그러면서 정부와 기업들이 이 문제를 심각하게 받아들여야 한다고 제언했다.

현행 인증 체계에도 의문을 표했다. 그는 "이 솔루션들 대부분이 CC 인증과 GS 인증 등을 받은 '검증된' 제품들"이라며 "개인적으로는 도대체 어떻게 통과했는지 이해가 잘 가지 않고, 인증 체계 자체의 실효성에 의문이 드는 부분"이라고 강조했다. 그러면서 "발견된 취약점만 패치하고 쉬쉬하며 넘어가는 관행은 이제 끝내야 한다"고 목소리를 높였다.

박 대표는 보안 분야에서 '공포 마케팅'을 극도로 싫어한다면서도 "문제와 위기가 분명한데 모른 척하기엔 저와 팀의 윤리에 어긋나고, 적극적 행동을 취하자니 괜한 오지랖인가 싶기도 하고 몇 번의 좌절이 깊은 트라우마로 남아 고민만 깊어간다"고 글을 남긴 배경을 밝혔다.

임경호 기자 lim@techm.kr