#공공기관에 다니는 A씨는 비용절감을 위해 보안업체의 말만 믿고 일반USB를 보안USB로 개조해 사용했다. 어느 날 USB 파티션을 보안 영역과 일반 영역으로 재설정하는 과정에서 보안 영역 데이터가 패스워드 없이도 노출된다는 사실을 발견했다. 국가정보원 인증을 받아 안전하다는 업체 말과는 달리 파티션 변경만으로 보안기능이 해제된 것이다.
#회사원 B씨는 개조된 보안USB를 사용하다 분실했다. 회사 주요 데이터가 저장돼 있었지만 보안USB라 데이터 유출 걱정을 하지 않았다. 얼마 후 습득자가 돌려준 USB를 열어본 후 보안기능이 풀려 있는 사실을 확인하고 가슴이 철렁했다. 분실 시 외부 충격으로 USB의 보안기능이 풀려 있던 것이다.
이처럼 값싼 일반USB에 보안 소프트웨어를 설치, 보안USB로 개조하는 사례가 늘고 있다. 그러나 정식인증 보안USB와는 달리 개조형 USB는 보안기능이 쉽게 풀릴 수 있어 각별한 주의가 요망된다.
국가정보원도 일반USB를 보안USB로 개조할 경우 국정원 암호화 크랙(Crack) 보안 툴은 물론이고 기타 조작만으로도 보안기능을 간편하게 해제할 수 있다며 주의를 당부했다. 보안이 요구되는 데이터는 반드시 인증된 보안USB를 사용해야 한다는 지적이다.
국가정보원 측은 “일반USB를 소프트웨어 방식으로 개조한 보안USB 일명 `일보화USB`는 보안에 극도로 취약해 국가정보원에서도 인증을 내주지 않는다”며 “일보화USB로 국정원 CC인증을 받았다는 업체 광고는 모두 거짓”이라고 강조했다.
인터넷에서 `일보화USB` 또는 `일반USB를 보안USB로` 등의 키워드로 검색하면 관련 소프트웨어를 내려 받을 수 있는 사이트안내와 사용방법 등을 쉽게 찾을 수 있다. 또 일반USB 판매업체가 USB에 소프트웨어를 탑재해 보안USB로 사용할 것을 권하기도 하지만 이들 모두 보안성이 담보되지 않는다.
실제 S사는 다수의 공공기관, 금융기관, 일반기업 고객에게 CC인증을 받지 않은 일반USB를 보안USB로 변경해서 사용할 수 있다며 1년여간 대량 공급했다. 국가정보원은 이 사실을 확인하고 S사에 `이미 판매한 일반USB를 하드웨어 기반 보안USB로 교환해주라`는 시정명령을 내렸으나 얼마 전 S사가 도산하면서 고객은 사후서비스는커녕 보안유출 위험성에 노출돼 있다.
염흥열 순천향대 정보보호과 교수는 “일반USB를 보안USB로 변경해 사용하는 것은 데이터를 안전하게 지키겠다는 원래 취지를 무색하게 하는 것”이라며 “국정원 보안적합성 평가를 받은 하드웨어 방식의 USB를 사용하는 것이 가장 안전하다”고 말했다. 또 염 교수는 “일보화USB가 유행하고 있지만 내려 받은 소프트웨어에 악성코드가 잠복해 있을 수도 있어 위험천만한 일”이라며 경고했다.
장윤정기자 linda@etnews.com
