미래창조과학부가 SW업데이트를 악용한 악성코드 확산을 막기 위해 SW업데이트 체계 보안 가이드라인을 19일 발표했다. 최근 해커들은 SW업데이트 과정에 악성코드를 넣어 좀비PC를 만든 후 이를 이용해 디도스 공격이나 디스크 삭제 등으로 사이버 공격을 하고 있다. 미래부는 이를 해결하기 위해 지난해 3월부터 국가보안기술연구소와 함께 주요 SW제품의 업데이트 체계를 점검, 문제가 발견된 SW에 긴급 보안패치를 수행했다.
SW업데이트 체계 보안 가이드라인도 이 과정에서 만들어졌다. SW개발기업에서 자동업데이트 기능을 개발할 때 준수해야 하는 보안항목 및 발생할 수 있는 위험, 해킹에 쓰인 사례 및 문제 해결 방안 등이 담겼다. 세부적으로는 △업데이트 설정 파일 디지털 서명 검증 △업데이트 설정파일 암호화 △실행파일 디지털 서명 검증 등 10개 항목이다.
SW업데이트 체계 보안 가이드라인 및 서명 검증 모듈은 미래부 홈페이지나 KISA(한국인터넷진흥원) 홈페이지에서 다운로드할 수 있다. 서명 검증 모듈은 KISA가 개발했다. 오승곤 미래부 정보보호정책과장은 “정부가 이처럼 보안 수준 향상을 위한 토대를 마련하고 기업이 이를 수행, 그 결과를 국민들에게 공개하면 결국 정부와 기업, 국민 모두의 보안 수준이 향상될 것”이라고 말했다.
권동준기자 djkwon@etnews.com
