솔루션어소시에이트, 세이프존 보도기사와 관련 입장 표명

보안USB 업체인 솔루션어소시에이트는 본지가 지난 4월 5일 '보안 USB 취약점 발견, 공공기관 도입중단 속출'이라는 제목 하의 기사(http://www.itdaily.kr/news/articleView.html?idxno=19023 세이퍼존 주장)와 관련, 선의의 피해를 막기 위한 별도의 입장을 밝히는 자료를 발표했다.

우선 이 회사는 "최근 논란이 되고 있는 보안 USB 관리시스템의 취약점 문제로 인해 인증을 받은 모든 보안 USB 제품이 마치 인증 후에 새로운 취약점이 속속 발견되고 있는 것처럼 고객들에게 잘못 인식될 소지가 있어 폐사와 같은 선의의 피해를 당하는 회사나 고객이 생기지 않기를 바란다"고 발표했다.

또한 이 회사는 현재 자사의 USB관리솔루션 'IGM-Public'을 도입한 국무총리실 등 42개 공공기관 및 잠재 고객의 불필요한 우려를 불식시키기 위해 다음과 같은 입장을 밝혔다.

1) 세이퍼 존은 "취약점은 국정원 인증받기 전부터 예상된 우회 방법"이라 밝힌 내용과 그런 취약점을 알고도 사전에 대응책을 마련하지 않은 채 고객에게 납품했다는 사실과 관련, "폐사로서는 상식적으로 이해가 되지 않는다. 이는 국정원의 인증여부를 떠나 보안제품이라면 반드시 준비되어 있어야 할 기본 대비책"이라고 판단된다. 세이퍼존의 홈페이지에 게재된 취약점에 대해 폐사의 IGM-Public은 VM Ware의 차단기능을 제외하고는 인증 이전에 이미 다 갖추고 있는 보안기능이라고 밝혔다. (VM Ware에서의 차단 기능은 2009년 3월 말에 완료했음.)

2) 세이퍼존의 주장 중 "국가에서 가장 중요하게 생각하는 핵심 중앙행정기관의 망분리 프로젝트에 납품해 중점감리대상이었던 것 뿐" 이라며 "특히, 세이퍼존의 경우 대통령실, 외교통상부처럼 국정원에서 가장 민감해 하는 기관에게 납품하였기 때문에 더욱 강하게 조사를 받았고, 형상관리 문제점이 발견되어 제재 조치를 당하게 된 것"이라는 내용과 관련, "중점감리 대상이라서 문제가 발견되어 제재를 받았다"는 식의 논리는 자칫 대중에게 타제품은 중점감리대상이 아니라서 문제가 발견되지 않아 제재를 받지 않았을 뿐이라는 오해를 불러 일으킬 소지가 있다고 판단된다.

특히 타제품에 대해서 정확히 파악하지 않은 채 자의적으로 해석한 억지논리로 밖에는 볼 수가 없다. 국가정보원의 'USB메모리 등 보조기억매체 보안관리 지침'에 따르면 "제 2조(적용범위)에 이 지침은 중앙행정기관(대통령 소속기관 및 국무총리 소속기관을 포함한다)과 지방자치단체 및 소속·산하기관(이하 '각급기관'이라 한다)에 적용한다. 다만, 교육기본법 제9조 제1항에서 규정한 학교에 대해서는 적용하지 아니한다"고 정의하고 있다. 각 기관의 보안관리지침의 준수여부에 대해서는 전적으로 국가정보원 소관으로써 폐사가 판단할 사안은 아니겠지만, 적어도 상기의 보안관리지침에 따라 보안 USB 관리시스템을 도입한 모든 기관에 동일하게 적용되는 규정이라고 이해하고 있다.

솔루션어소시에이트 전응희 대표는 "마치 핵심 중앙행정기관 이외의 여타 기관에 도입된 제품들은 보안관리에 문제가 있어도 묵인이 되고 있는 듯한 뉘앙스를 풍김으로써 폐사가 고객들로부터 문의가 빗발쳐 일일이 대응해야 하는 것에 대하여 동종업계의 한 회사로서 씁쓸함을 금할 수 없다"며 "전체 보안USB에 대한 인식이 잘못되어 폐사와 같은 피해를 당하는 회사나 고객이 있어서는 안 된다"고 강조했다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지