'국산SW 보안취약점' 식별체계 국제표준 추진

과기정통부·KISA, 연내 진행
'제로데이 공격' 방지 등 기대

정부가 국산 SW 보안취약점 식별체계를 국제적으로 통용되는 'CVE(Common Vulnerability and Exposures·공개된 보안취약점)' 넘버 표준화에 나선다. SW 보안취약점 신고포상제인 버그바운티 활성화와 맞물려 '제로데이 공격(취약점 패치 전 해킹)' 방지 등 국가 보안과 국내 보안 생태계 수준을 한 층 끌어올릴 수 있을 것으로 기대된다.

6일 관련 기관 및 업계에 따르면 과학기술정보통신부와 한국인터넷진흥원(KISA)이 올해 안으로 CVE 넘버 표준화를 진행할 계획이다.

KISA는 그동안 내부적으로 보안 취약점에 대해 넘버링 작업을 해왔지만 이를 공식적으로 국제표준화하려는 작업은 처음이다. CVE는 다양한 SW 취약점 정보들을 공유해 체계적으로 분류한 뒤 관련 조직들의 대응을 돕는 것에 목적을 두고 있다. 과거 다양한 관련 표기법이 있었지만, 미 국립표준기술연구소(NIST)를 통해 실질적인 국제 표준 보안 취약점 표기법으로 자리매김했다.

그러나 그동안 CVE가 활발히 정착한 구글, 마이크로소프트(MS), 오라클, 레드햇 등 해외 SW 기업들과 달리 국산 SW는 한정된 취약점 정보만이 공유되는 상황이었다. 이에 KISA는 미 연방정부의 후원을 받으며 CVE 체계 구성을 담당하는 비영리기관 MITRE를 통해 '취약점 넘버 부여 권한(CNA, CVE Number Authority)'을 받고, 국내 SW 기업들의 적극적 참여를 이끌어낼 계획이다. MITRE는 현재 한국을 포함한 총 14개 국가의 83개 보안 관련 기관 및 조직에 CNA 권한을 주고 있다.

KISA 관계자는 "CVE는 미국, 일본 등 널리 사용되는 표준식별체계인 만큼 앞으로 국산 SW 보안 취약점들도 국제적으로 통용되게 하고 체계적으로 관리하고자 하는 것"이라며 "국내 SW 기업 중 처음으로 한글과컴퓨터(한컴)의 협조를 받아 시범 과제를 진행 중"이라고 말했다.

한컴은 지난해 발견된 한컴 네오오피스 오버플로 취약점에 대해 KISA를 통해 'CVE-2018-5195' 넘버를 부여받았다. 한컴 관계자는 "최근 HWP 확장자를 타깃한 표적 공격이 많고 한컴이 보안기업이 아니다 보니 취약점에 대해 자세한 파악을 하고자 참여를 결정했다"며 "회사는 앞으로도 KISA를 통해 지속적으로 CVE 정보가 공유돼 내외부적으로 빠른 보안 취약점 대응을 할 방침"이라고 말했다.

한컴과 함께 KISA의 버그바운티 제도 'SW 취약점 신고포상제'에 참여 중인 네이버, 카카오, 카카오뱅크, 네오위즈, 이스트시큐리티, 이니텍, 잉카인터넷, 지니언스, 안랩, 하우리, LG전자 등 11개 기업도 향후 참여할 것으로 전망된다.

관련 주무부처인 과기정통부 관계자는 "그동안 정책적으로 보안 취약점 관리에 대해 큰 신경을 못 쓴 부분이 있어 버그바운티 법제화와 함께 체계적인 보안 취약점 발굴 생태계를 활성화하고자 하는 목표"라며 "단순히 취약점 발표에서 끝나는 것이 아니라 국내 민간 기업들이 해당 조치를 최종적으로 실제 시행하고 패치하는 부분까지 확인 및 관리 할 수 있는 시스템을 구축할 것"이라고 말했다.

이희조 고려대 컴퓨터학과 교수(4차산업혁명위원회 민간위원)는 "국내 SW 기업들은 일반적으로 취약점이 발견되면 제품에 문제가 있다 생각하고 이를 알리기 두려워하는데 글로벌 SW 기업들은 적극적인 CVE 활동을 통해 취약점을 공유해 큰 사고를 방지하고 있다"며 "국내 특유의 문화적 특성이 당장 바뀔 수 없고, 정부의 코디네이터 역할이 중요한 만큼 이번 정책은 큰 의미가 있다"고 말했다.

이경탁기자 kt87@