
얼마전 모 보안업체가 특정 범용소프트웨어의 취약점 정보를 개발업체의 확인이나 통보없이 언론에 공개했다가 개발업체와 한바탕 소동을 빚었다. 다른 루트를 통해 취약점 정보를 미리 알았고, 보안 패치작업이 한창 진행중인데, 어이없게 해당 취약점 정보가 노출되는 바람에 해당 개발사는 큰 곤혹을 치뤘다. 무엇보다 패치전 고객들이 직접 위험에 노출되기 때문이다.
물론 상용화된 시스템에 취약점이 발견됐을 경우, 이를 악용한 범죄 확산을 예방하기 위해 이 정보는 공개되고, 또 공유돼야 하는 것은 당연하다.
그러나 문제는 방법과 절차상의 적정성 여부다. 시스템의 취약점만을 전문 분석하는 해커그룹들조차 상용화된 시스템에 문제가 있을 경우, 이를 먼저 해당 개발사에 먼저 통보해 조치가 이뤄진 다음에 공개하는 게 상식이다. 현재 서비스중인 시스템의 취약점 공개가 먼저 이뤄질 경우, 이 정보가 곧바로 사이버 범죄로 직결될 위험이 있음이다.
최근 `인터넷 민원서류 위변조' 사태는 국내 취약점 정보공개가 얼마나 무분별하게 이뤄지는지 극명하게 보여준 대표적 사례다. 국회의원과 일부 보안업체에 의해 전자정부의 근간이라 할 수 있는 인터넷 민원서비스들의 취약점 정보가 무차별 노출된 것이다.
만약, 이들이 진실로 국민의 재산권과 안전을 먼저 생각했더라면, 해당기관에 미리 취약점 정보를 알려, 신속한 조치가 이뤄지도록 했어야 옳다. 그 이후에 발표해도 늦진 않다는 얘기다. 정치적 인기나 사업자들의 이권(?)이 국민의 안전보다 우선시됐다는 역비난이 일고 있는 것도 이 때문이다.
물론 이처럼 취약점 정보가 난무해진데는 국내 시스템 개발사 및 인터넷 서비스 운영업체의 책임도 적지않다. 아직까지도 누군가 취약점 정보를 알려줘도 이를 즉각 개선하기보다는 아예 무시해버리는 사례들이 여전히 비일비재하다는 것이 보안업계의 하소연이다.