아스록 도입한 공공기관, 기능개선 및 보완 조치 요구 빗발쳐


▲ 듀얼시큐어 웹방화벽 '아스록(ASROC)'





국내에서 유일하게 보안적합성 검증필을 획득했다는 이유 하나로 공공시장에서 종횡무진 거침없는 행보를 보여 온 듀얼시큐어의 웹방화벽 '아스록(ASROC)' 제품에 급제동이 걸렸다.

아스록을 도입한 다수의 공공기관에서 불만이 터져나오고 있기 때문이다. 아스록 사용자들은 오래전부터 도메인별 컨트롤, 차단 내역 외에 전체 세션에 대한 통과된 로그 분석, 웹방화벽 일시 정지, 리포팅(UI) 등 제품의 일부 기능 개선 및 추가 보완을 요청해온 것으로 밝혀졌다. 하지만 듀얼시큐어측은 당초 반영하겠다던 말과는 달리 수개월이 지난 현재까지도 별다른 조치를 취하지 않고 오히려 묵묵부답이어서 담당자들의 높은 불만을 사고 있다.

해당 공공기관 담당자들은 "국정원 적합성 검증을 받은 제품이 이정도 일줄은 몰랐다"며 "공공기관이다 보니 연단위로 사업이 이뤄지긴 하나 제품이 제 기능을 다하지 못하는 현재 상황에서 타 장비로의 교체까지도 심각하게 고려 중"이라고 밝혔다. 또한 이들은 "장비 기능이 업그레이드 되면 보안적합성 검증을 다시 받아야 할 수도 있기 때문에 사업 확대에 급급한 업체 측에서는 제품 개선을 미루고 있는 것 같다"고 추측했다.

도메인별 보안정책 적용 등 제 기능 발휘 못해
A공사와 B시청의 경우 듀얼시큐어 웹방화벽이 도메인별 컨트롤 기능과 첨부파일 검사 기능이 지원 안되고, 차단 된 로그만 보일 뿐 통과된 전체 로그에 대한 분석 기능이 지원안돼 보안 정책을 세우기 힘들고 지적했다.

특히 다양한 웹서비스 개발 언어, 웹서버 종류 등을 지원하는데 한계가 있을 뿐 아니라, 홈페이지 내 첨부파일의 파일확장자 명에 따라 웹서비스 제공을 차단하거나 차단된 것을 해지하는 기능이 미흡해 오탐률이 빈번한 것으로 드러났다. 웹방화벽은 완벽한 개발 언어를 지원한다는 가정 하에 정상적인 ID, URL 요청을 파악해 웹서비스를 제공 혹은 차단하는데, 이 같은 기능이 미비해 실제 홈페이지에서 웹서비스 제공 시 문구가 열렸다가 안 닫혀 페이지가 넘어가지 못하거나, 심지어 첨부파일이 안보이고 글씨가 전부 빨갛게 보이는 현상까지 발생했다.

해당기관 담당자는 "웹방화벽 오탐률로 페이지 오류가 발생하면 방화벽 로그를 보고 일일이 홈페이지 소스자체를 수정해 정상적인 서비스가 제공되도록 하고 있지만 웹페이지 수가 워낙 많다보니 적지 않은 시간이 소요되고 있다"고 토로했다. 뿐만 아니라 "페이지 오류가 발생해 웹 서비스 접속이 느려지는 현상까지는 참고 받아들일 수 있지만, 보안 정책 설정이 제대로 적용안되는 것은 무엇보다 큰 문제"라고 발끈했다.

또한 C시청에서는 웹방화벽 관리(매니저) 페이지에 일시정지 기능이 없다보니 관리자가 웹서비스에 문제가 생겨 웹방화벽을 일시 정지하고자 할 때 직접 웹방화벽 서버에 접속해 프로그램 소스를 수정해야하므로 웹서비스 문제를 신속히 해결하는데 어려움이 많다고 전했다. 이에 대해 듀얼시큐어 관계자는 "웹방화벽 자체에 장애 발생 시 자동적으로 작동이 안하게끔 현재 SW·HW 바이패스 기능은 지원하고 있으나, 해킹을 막기 위한 웹방화벽 제품 특성상 웹방화벽의 일시 정지 기능처럼 관리자가 임의로 콘솔 제어를 하도록 하는 것은 제품 권장 사항이 아니다"고 말했다.

또한 "제품이 범용적인 패키지 제품이다 보니 어떤 사이트에서는 이상 없는데, 어떤 사이트에서는 타 사이트에서 전혀 볼 수 없는 문제가 종종 발생하기도 한다"며 "보다 다양한 사용자의 요구에 대한 분석이 완벽하게 이뤄지지 않은 채 제품이 개발돼, 보안정책 설정 등 일부 보안 기능이 미흡한데 홈페이지 개발자가 제각각이라 똑같은 프로그램을 모든 환경에 다 적용하는 것은 사실상 불가능하다"고 반박했다. 그러면서 "우리 제품이 100%완벽하다고 말하지 않으며, 버그면 버그라고 솔직히 말하고 문제 발생 시 시간·돈에 상관없이 최선을 다해 무상으로 고객을 지원해주고 있다"고 덧붙였다.

리포팅기능 · UI 개선 시급…사용자 고려한 제품되어야
이 밖에도 아스록 제품을 이용하고 있는 다수 공공기관들은 리포팅 기능, UI 개선 등을 업체에 요청한 것으로 알려진다. 실제 D시청을 비롯한 다수의 공공기관들은 "아스록 제품의 UI가 취약해 전문 엔지니어가 아닌 관리자들이 이용하는데 적지 않은 불편함을 겪고 있다"고 말했다. 해당 기관 담당자들은 "웹방화벽 차단 내역을 눈에 띄게 체계적으로 보여주는 리포팅 기능이 특히 부족해 실제 필요한 그래프 작성 등을 내역을 보면서 별도로 하고 있다"며 "리포팅 기능을 편리하게 개선해 달라는 요청을 이미 오래 전부터 해놓은 상태지만 아직도 개선의 기미가 보이지 않고 있다"고 말했다.

또한 E교육청의 경우 홈페이지에 텍스트로 입력된 내용 가운데 주민번호, 통장/카드 번호 등에 대해서는 특수문자 처리가 되는 반면, 첨부파일 내에 포함된 개인정보에 대한 특수 처리가 안돼 게시된 텍스트(본문)에서의 기능을 첨부물에도 적용해달라고 요청해 놓은 상태다.

이에 대해 듀얼시큐어 관계자는 "워낙 요청이 많아 첨부물에 대한 개인정보보호 및 검사 기능을 9~10월경 강화할 예정이지만 엄밀히 말해 웹방화벽 자체에서 제공해야 할 기능이 아니라 별도 개인정보보호 시스템이 해야 할 역할"이라며, "기능을 추가 보완할 경우 웹서비스 속도 및 성능을 장담 못하기 때문에 이를 두고도 여전히 고민하고 있다"고 밝혔다.

현재 아스록 제품은 100여개 정부, 공공기관에 150~200여대가 도입돼 있다. 공공기관 담당자들이 아스록 제품을 도입한 이유는 딱 하나, 보안적합성 검증을 통과한 유일한 제품이라 그나마 신뢰할 수 있었기 때문이다. 이 제품이 정부 및 공공기관에 다 도입돼 있는 이상, 기능 개선을 하지 않을 수는 없을 것이다. 더 많은 기관에 확대되기 이전에 고객들 하나하나의 목소리에 귀 기울여 더 이상 웹방화벽에 대한 인식과 신뢰를 불식시키는 일이 없도록 해야 할 것이다.
저작권자 © 아이티데일리 무단전재 및 재배포 금지