정부와 개발사가 보안 취약점을 발견한 소프트웨어(SW)에 대해서 패치 개발 후 이용자에게 알려 업데이트를 권고하지만 그 방법이 명확하지 않아 적시 대응이 어렵다는 지적이 제기된다.
현 제도대로라면 이용자는 취약점 유무는 물론 패치 업데이트 필요성도 모를 수밖에 없는 상황이다. 개선이 필요하다는 목소리가 높아진다.
19일 과학기술정보통신부 등에 따르면, SW개발사의 취약점 고지 방법 구체화와 버그바운티(보안 취약점 신고 포상제) 제도 활성화 등을 포함한 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(정보통신망법) 개정이 논의되고 있다. 보안 취약점 발견 등 침해사고 발생 시 과기정통부가 한국인터넷진흥원(KISA)과 더욱 적극적으로 대응할 수 있는 기반을 마련하는 게 핵심이다.
현행 정보통신망법에 SW 보안취약점과 패치 업데이트에 대한 고지방법이 불명확한 것도 개선 필요성이 제기되는 항목이다.
법에는 ‘SW사업자는 보안 취약점을 보완하는 프로그램 제작 날로부터 1개월 이내 2회 이상 사용자에게 알려야 한다’고 명시하고 있지만, 구체적인 방법은 규정하지 않고 있다. 특히 이용자가 기업이 아니라 일반 이용자일 경우 문제는 심각해진다. 국민이 이용자인 SW의 경우 메일 배포, 홈페이지 보안공지 등을 통한 패치 업데이트 알림은 한계가 있기 때문이다.
지난 3월 취약성 문제가 알려진 금융 보안 인증프로그램 ‘이니세이프 크로스웹 EX’의 경우 국내·외 1000만대 이상의 개인·기관·업체 개인용컴퓨터(PC) 1000만대에 설치된 것으로 추정된다. 이처럼 광범위하게 배포된 SW를 대상으로 하는 경우 자동 업데이트 등 실효성 있는 방안이 필요하다는 목소리에 힘이 실린다. 다만 자동 업데이트 서버는 비용과 보안 관리 문제가 대두된다.
한 보안업체 관계자는 “자동 업데이트를 제공하지 않는 공유기의 경우 보안 취약성 문제가 종종 드러난다”면서도 “자동 업데이트 서버를 운영하려면 막대한 비용이 들고, 자동 업데이트 서버가 해커들의 타깃이 돼 기술적 관리도 만만찮다”고 말했다.
정부 권한이 제한적인 것도 문제다. 과기정통부는 침해사고 발생 시 SW사업자 등에 제품 취약점 개선 등 사고 확대 또는 재발 방지를 위한 조치를 ‘권고’할 수 있을 뿐이다.
KISA 관계자는 “권고 수준의 권한으론 효과적으로 사이버 침해 사고 대응이 어렵다”면서 “우선적으로 과기부와 KISA가 법적 권한을 갖는 것이 중요하다”고 말했다.
패치 업데이트 등에 관심을 갖는 건 사용자의 몫이라는 반론도 있다.
한 보안업체 고위관계자는 “개발사가 취약점을 보완한 패치를 개발하고 홈페이지 등을 통해 사용자에게 고지하는 것으로 역할은 다한 것”이라면서 “예를 들어 사용자가 유제품 유통기한을 확인하듯이 제품을 구매한 이후 관리해야 하는 책임이 있다”고 말했다.
조재학 기자 2jh@etnews.com
