허점 보인 '보안 USB' 어쩌나

공공시장에 보급된 보안USB에 취약점이 발견되면서 보안USB 시장이 일대 혼란에 빠졌다. 

29일 관련업계에 따르면 국가정보원의 보안적합성 검증까지 받고 공공기관에 공급했던 보안 USB를 무력화할 수 있는 여러가지 방법이 발견됐다. 

이 때문에 검증필을 받은 10개 제품 중 2개 제품이 보안적합성 검증필 목록에서 최근 삭제됐으며, 국가보안기술연구소는 나머지 제품들도 재검증 작업에 들어갔다.

지금까지 발견된 취약점은 사용자의 의지에 따라 보안 USB를 무력화할 수 있는 방법이다. 보안 USB는 허가를 받은 자료만 USB에 저장해 자료를 이동할 수 있게 하는 장치로, 내부정보 유출을 막는 용도로 사용된다.

그러나 보안USB 실행파일을 강제로 종료하면 일반 USB로 얼마든지 자료를 옮길 수 있다는 취약점이 발견됐다. 또 공인인증서를 저장하는 경우에는 일반적으로 보안 USB의 승인을 받지 않아도 되는 제도를 악용해 내부자료를 인증서 확장자로 변환하는 사태가 발생하기도 했다.

가상 OS를 설치해 일반 USB로 자료를 유출하는 것도 가능한 것으로 밝혀졌다. 안전모드 부팅 후 보안 USB 폴더를 삭제해 무력화시키는 방법도 주요 취약점 중 하나다.

이러한 사태가 벌어지자 공공기관은 보안 USB 도입을 주저하는 모습이다. 오는 5월까지는 공공기관이 보안 USB를 도입할 때 검증필 목록을 받은 제품만 도입해야 한다. 게다가 6월부터는 CC인증을 받은 제품을 도입해야 하지만 대부분의 기업들이 CC인증을 아직 받지 못했다. 

한 은행 관계자는 “보안USB를 서둘러 도입하려 했지만 진행되는 결과를 지켜봐야하게 생겼다”고 말했다. 

기업들은 서둘러 취약점을 보완하는 등의 대책을 마련하고 CC인증도 서둘러야 해 진땀을 흘리는 모습이다.

보안 USB기업의 한 영업 담당자는 “시장이 열린다고 해서 기업들이 무리하게 보안 USB 시장에 진출하다보니 고객만족서비스도 잘 안됐던 것이 사실”이라며 “취약점을 보완하고 기술력을 보강해 인증도 서두르는 수밖에 없다”고 말했다.

 

문보경기자 okmun@etnews.co.kr