[아이뉴스24 성지은 기자] 취약점부터 백도어(비공개 접속 경로)까지. 최근 국정감사 동안 제기된 잇따른 보안 의혹에 기업들만 여론의 뭇매를 맞는 형국이다.
사업에 타격을 주는 민감한 사안들이 의혹으로 제기됐지만, 정작 명확한 세부사항 언급은 없어 괜한 논란만 키우고 있는 것. 정치권 주장에 대놓고 반박하기도 쉽지 않아 기업들만 속앓이를 하고 있다.
19일 업계에 따르면, 아이디스·한화테크윈 등 유·무선 네트워크(IP) 카메라 제조사가 판매하는 일부 제품이 보안에 취약한 것으로 분류되면서 이들 기업이 해명에 진땀을 흘리고 있다.
앞서 변재일 더불어민주당 의원은 과학기술정보통신부와 한국인터넷진흥원(KISA)이 실시한 'IP카메라 실태조사' 결과를 인용, 이들 기업의 제품 각각 27개와 9개가 보안 취약점 제품으로 분류됐다고 언급했다.
정부는 지난 5월 28일부터 6월 4일까지 국내 유통되는 400개 IP 카메라를 대상으로 공장 출하 시 설정된 아이디와 비밀번호 취약점을 조사했고 ▲초기 비밀번호 설정이 안 된 경우 ▲알기 쉬운 비밀번호(0000, 1234 등)가 설정된 경우 ▲제품모델 전체가 동일한 비밀번호를 사용하는 경우 등을 취약 제품으로 분류했다. 제품을 직접 시연하거나 사용설명서를 확인하는 방식으로 조사가 진행됐다.
문제는 정확한 조사 방법에 대한 언급이 없었던 것. 또 설명서 기반 조사를 진행한 제품의 경우, 실제 제품에는 비밀번호 변경 기능이 포함돼 있기도 했다. 심지어 일부 제품은 단종된 상태다.
아이디스 관계자는 "13개 단종제품(2016년 이전제품)은 암호 설정을 권장한 뒤 설정하지 않을 경우 주의를 주고, 14개 판매제품(2016년 이후 제품)은 보안이 필수화돼 있어 27개 제품 모두 관리자 암호 설정 기능이 있다"고 설명했다.
이어 "금융권은 특히 보안에 민감한데, 국내 영업팀이 백방으로 뛰며 직접 시연하는 방식으로 보안 논란을 불식시키고 있다"며 "과실이라면 설명서에 이 같은 사실을 기록하지 않았다는 것"이라며 억울함을 토로했다.
한화테크윈 측도 보안 논란을 해명하고 나섰다. 언급된 9개 제품 가운데 8종은 2011년~2013년 사이 이미 단종됐고, 1종은 한정된 고객에게 제공된 제품으로 지난해 7월 단종됐다.
또 2011년~2013년에 단종된 제품은 매뉴얼에 초기 설정 번호를 변경하도록 권고하고 있고, 2014년부터는 영문·숫자·특수문자가 조합된 8자리 이상의 비밀번호를 정책상 필수로 설정케 하고 있다.
이에 KISA 측은 "실제 제품에는 기능이 있으나 설명서에 관련 내용이 없는 경우까지 정밀하게 구분하기는 어려운 한계가 있다"며 "조사 당시는 유통 중이었으나 현시점에 단종되는 등 유통되지 않는 제품이 일부 있었다"고 설명했다.
이어 "제조사들과 협의해 보다 정밀한 방식으로 조사를 진행할 계획"이라고 덧붙였다.
◆시스템 고도화 보안 소홀 지적 없이 백도어 의혹만…민간 '불똥'
한국재정정보원의 재정정보 유출 문제는 시스템을 구축·운영한 민간기업들(삼성SDS컨소시엄, KTNET컨소시엄)에 대한 백도어 논란까지 확산된 경우. 정작 문제가 된 시스템은 지난해 고도화 등으로 바뀐 것으로 나타났다. 구축 당시 시스템과 달라진 것인데 앞서 구축한 업체들에 비난의 화살이 쏟아지고 있는 것.
실제로 재정정보원은 지난해 예산 22억6천여만원을 들여 '17년도 디지털예산회계시스템(dBrain) 개선 및 열린재정·재정분석시스템(OLAP) 고도화' 사업을 추진했다. 또 7천여만원의 예산을 추가 투입, 감리용역을 진행한 것으로 확인됐다.
이에 따라 이번 자료 유출 건은 시스템 고도화 이후 보안관리 소홀로 인한 문제일 가능성도 제기된다. 그러나 이 같은 설명 없이 지난 16일 진행된 국회 기획재정위원회 국감에서는 민간기업들에 포화가 집중됐다.
심재철 자유한국당 의원실이 '관리자 권한'으로 재정분석시스템에 접근했다면 개발자가 만든 백도어가 유출 경로일 수 있다는 의혹이 제기된 것.
심상정 정의당 의원은 "재정정보원에 확인한 결과 심재철 의원실이 재정분석시스템에서 비인가 재정정보를 내려받은 경로는 관리자 모드였다"며 "백도어 존재 가능성이 높다고 보는데, 시스템 구축업체부터 지금까지 운영을 맡아온 업체를 모두 샅샅이 조사해야 한다"고 주장했다.
이에 대해 결국 삼성SDS 측은 뉴스룸을 통해 직접 해명에 나서야 했다.
삼성SDS는 "2014년 5월 운영사업 계약 종료 후 디지털예산회계시스템과 관련한 어떤 상황도 알지 못한다"며 "운영을 맡을 때도 매년 보안 감사를 받았던 시스템인 만큼 일부 제기되는 백도어 관련 의혹은 전혀 사실이 아니다"라고 설명했다.
이어 "개발 프로젝트 종료 시에도 보안, 권한 심사를 받기 때문에 문제가 있었다면 검수 확인과 사업 종료가 안 됐을 것"이라고 덧붙였다.
재정정보원 정보유출 사안은 현재 조사가 진행 중인 상태다. 이에 따라 보안 논란은 수사 결과가 발표돼야 종결될 것으로 보인다.
성지은기자 buildcastle@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기