“보안 제품의 취약점 발견되면 공개해야 한다” vs “기업 신뢰도 추락으로 문 닫을 수 있다.”
보안업계와 고객이 사이버 보안 제품의 취약점이나 해킹 사실 공개를 두고 상반된 입장이다. 고객은 투명한 내용 공개로 추가 피해를 막아야 한다고 주장한다. 보안업계는 보안 기업 해킹을 받아들일 문화가 형성되어 있지 않았다며 신중한 입장이다.
최근 두 달 사이에 국내 보안 기업 2곳이 해킹됐다. 2개 제품이 공격 통로로 악용됐다. 국가정보원은 지난 8일 보안 기업 해킹 사실을 발표했다. 회사 이름은 명시하지 않았다. 보안기업 해킹이나 제품 취약점은 대형 사이버테러의 징후다.
제품을 도입한 고객은 자동차 리콜처럼 보안 제품 취약점이나 해킹 사실을 공개할 것을 요구한다. 보안 제품이나 기업 해킹은 2차 피해를 일으킬 가능성이 높기 때문이다.
RSA시큐리티, 카스퍼스키랩 등은 해킹 사실을 공공에 알려 빠른 대응을 유도했다. 시스코와 주니퍼도 보안장비 취약점을 공개하며 빠른 패치를 권고하는 등 기업 신뢰도 하락보다는 고객 피해 최소화에 주력했다.
유준상 한국정보기술연구원장은 “고객 입장에서 생각하지 않으면 신뢰가 무너지고 더 큰 손실을 초래한다”면서 “잘못을 인정하고 즉각 대응하는 등 취약점 공개 인식을 바꿔야 한다”고 주장했다. 한 카드사 최고보안책임자(CISO)는 “숨기고서 조용히 처리하려다가 문제는 더 커진다”면서 “취약점은 물론 악성코드 유포 등에도 전향적 변화가 요구된다”고 강조했다.
김용대 KAIST 교수는 “RSA시큐리티는 `시큐어ID` 해킹 사건을 알리고 분석한 후 대응책까지 상세하게 기업 블로그에 공개했다”면서 “2차 피해가 예상될 경우 반드시 공개하는 법적 기반이 필요하다”고 지적했다.
김승주 고려대 교수는 “지난해 메르스 바이러스 사건에 답이 있다”면서 “초기 환자의 정보 공유가 안돼 피해가 확산됐다”고 환기시켰다. 그는 “보안사건 발생 시 확산 방지와 백신 개발이 동시에 이뤄져야 한다”면서 “우리는 확산 방지에 소홀하다”고 꼬집었다.
보안업계는 사실 관계 공개가 기업 존폐에 영향을 미친다는 입장이다. 이를 받아들이는 성숙한 사회 문화 정착이 우선이다. 한 보안업계 관계자는 “먼저 공개했다가 이 문제로 소송을 당하거나 손해 배상을 지급해야 할지도 모르기 때문에 자발적으로 나서기 어렵다”면서 “공개하는 게 이상적이지만 현실은 녹록지 않다”고 토로했다. 경쟁사가 해당 건을 영업에 이용, 매출에 타격을 주기도 한다.
또 다른 관계자는 “IT 보안에 문제가 생기면 보안 담당 업체가 책임질 사안은 아니다”면서 “제조물책임법으로 설계상, 제조상, 표시상 결함에 의해 이용자에게 손해가 발생하면 책임을 지워야 한다”고 주장했다. 그는 “사이버 공격과 방어는 끊임없는 싸움의 연속”이라면서 “해킹 사실만으로 보안회사에 책임을 물을 수 없고, 당시 기술 수준에 비춰 최선을 다했는가도 검토해야 한다”고 덧붙였다.
김인순 보안 전문기자 insoon@etnews.com