KISA ‘보안 취약점 클리닝 서비스’, 진짜 문제는 무엇인가 Part1
- KISA 보안 취약점 클리닝 서비스에 관한 서로 다른 시선
- 서로 다른 의견의 이유 그리고 현실과 이상의 괴리감
금융보안 소프트웨어 취약점 등을 비롯해 국내 소프트웨어의 취약점을 악용해 지속적으로 악성코드가 유포되는 가운데, 한국인터넷진흥원(KISA)은 ‘보안 취약점 클리닝 서비스’를 사업을 추진했다. 한국인터넷진흥원은 7월, 잉카인터넷의 nProtect 엔진을 활용해 시범 운영을 마쳤고, 성과도 있었다. 하지만 해당 사업에 대해 다양한 의견이 있으며, 사실 보다 구체적으로는 대부분 부정적인 의견을 제시했다. 한국인터넷진흥원 및 정부가 시행사는 사업은 매번 비슷한 논란을 불러일으키는 것일까? 이 그 핵심을 정부 역할의 범위, 한국 소프트웨어(S/W) 산업의 구조적 한계, 그리고 보안 패치 시장의 실효성 부족이라는 세 가지 키워드로 요약보고자 한다.
1. KISA 보안 취약점 클리닝 서비스의 취지: ‘불 끄는 소방관’의 필요성
PC 사용자들은 자신이 사용하는 PC에 어떤 소프트웨어들이 설치되어 있는지 모르는 경우가 있다. 이 부분이 PC 사용자들의 잘못이라고 말할 수 있을지 이 부분은 살펴봐야할 것 같다. 이와 같은 상황속에 더 큰 문제는 S/W의 취약점이 발견되고 패치가 나오더라도 이를 제때 적용하지 않아서 피해가 발생하는 경우가 반복된다는 것이다. 더욱이 PC 사용 능력이 낮거나 IT 환경에 익숙하지 않은 계층은 더욱 그러하다.
KISA는 이 격차를 줄이기 위해 취약 S/W가 PC에 설치되어 있는지 탐지하고, 구버전 삭제 또는 안전한 조치를 안내하는 것을 목표로 클리닝 서비스를 추진했다. 이는 단순히 기술적 편의 제공 차원이 아니라, 국민의 IT 안전망을 국가 차원에서 보완한다는 공공적 목적을 가진다고 풀이할 수 있다.
또한 KISA는 취약점 신고 포상제를 운영하며 국내에서 발견되는 신규 취약점을 가장 빠르게 수집·분석할 수 있는 기관 중 하나다. 즉 정부는 기업보다 먼저 취약점을 인지할 수 있고, 그 정보로 국민 보호 조치를 추진할 정당한 이유가 존재한다.
다만, 본 기사 속에서 다루는 내용이 취약점 신고 포상제 운영에 관한 논쟁과 유사하다고 볼 수 있으므로 같은 맥락에서 바라보는 것도 가능할 수도 있다.
이 판단은 기사를 읽는 독자들이 판단해 주었으면 한다.
2. 반복되는 논쟁의 본질 - “정부가 개입하면 기업이 나태해진다” or "정부가 시장을 훼손하고 있다"
문제는 여기서부터다. KISA의 보안 취약점 클리닝 서비스 사업에 관한 여러 논의 과정을 보면 학계 및 업계 전문가는 다음과 같은 주장들을 제기한다.
2. “전국민 악성코드 배포 프로젝트다.”
3. “정부는 단발성 대응만 하고 장기적인 문제 해결을 하지 않는다.”
위 주장들에 대해 하나씩 살펴볼 필요가 있다고 생각한다. 즉, 옳은 부분과 그렇지 않은 부분 그리고 이상적인 부분과 현실적인 부분을 따져야 한다는 것이다. 본 지에서는 이 내용을 Part1과 Part2로 나누어서 연재하고자 한다.
Part1
위 지적을 몇번이고 반복해서 읽다보면 한가지 배경? 또는 기저에 깔린 무언가?를 인식할 수 있다. 우선 위 세 가지 지적 중, 첫번째와 세번째 지적을 보면 정부가 개입하면 시장이 죽거나 게을러지며 이는 결국 눈에 보이는 단기적 해결 방안을 내놓았다는 주장이다. 이 문장을 뒤집으면 "정부가 개입하지 않는다면 기업이 알아서 보안 패치를 빠르게 만들고 배포하며 그에 따른 비용을 시장이 기꺼이 지불할 것”이라는 가정을 하고 있다고 느낄 수 있다. 하지만 지금까지 한국 S/W 시장은 그 가정이 작동한 적이 거의 없다.
Part2
두번째 지적은 기술적인 부분으로 대단히 의미 있는 지적이다. 이는 KISA의 보안 취약점 클리닝 서비스라는 것이 어떤게 구현되고 실행될지에 관한 부분이다. 이와 같은 지적은 우리나라의 보안 S/W의 작동 방식, 보안 S/W를 활용한 방어체계 구축 방식과 맞닿아 있는 부분이다. 결과론적으로 KISA의 보안 취약점 클리닝 서비스는 과거의 사례를 반복했으며 "악성코드 배포 프로젝트"라는 비판적인 지적을 받을만한 상황에 놓일 수 밖에 없었다.
사실 우리는 유사한 구현 방식으로 인해 많은 피해를 입어왔왔지만 구조를 변경하려는 고민과 시도를 해보지 않았다. 이 부분은 KISA 보안 취약점 클리닝 서비스도 동일한 상황이다. 조금만 과거 침해사고 사레에서 파일의 이동 방향, 실행 방식, 실행 권한, 검증 등을 살펴보면 의미 있는 지적이라는 것을 알 수 있으며 아쉬운 부분이다.
3. 한국 S/W 산업 구조가 만든 ‘비용의 함정’
앞서 지적한 내용 중, 첫번째와 세번째 지적은 너무나도 합리적인 지적이다. 그러나 합리적이라고 하여 현실세계에 적용 가능하다는 뜻은 아니다. 다시 말해 너무나도 이상적이며 희망적인 방향이라는 것이다. 우리나라의 S/W 시장은 취약점 대응에 관하여 자생적 시장 메커니즘으로 해결되기 매우 어려운 구조이다. 이제부터 하나씩 하나씩 문제를 살펴보고자 한다.
고품질 S/W를 개발해도 충분한 가격을 받지 못하는 시장
개발사가 충분한 비용을 투자하여 시장에 좋은 제품을 내놓았다고 가정하자. 과연 기업은 적정한 가격을 책정하고 판매할 수 있는 상황일까? 다시 말해 적정 시장 가격 형성이 가능하며 이를 적절하게 평가받으며 판매할 수 있을까? 우선 우리나라 정보보호 시장은 기본적으로 충분한 규모를 갖기에 부족하지만 내부적으로 너무나도 많은 시장 플레이어가 있다. 자유 경쟁이라는 것이 좋을 수도 있지만 입찰 시장에서는 가격:기술의 평가 기준 중, 가격이 80~90% 비중을 차지하는 시장이라면 사실 어렵다. 좋은 제품을 만들기 위한 경쟁이 아닌 견적서가 돌아다니고 가격을 내리고 이 과정이 반복되는 상황으로 결국 좋은 S/W를 만들어도 충분한 비용을 받기 어려운 상황이 만들어진다. 결국 기업은 제 살을 깍아가며 버티고 버티면서 살아남아야 한다. 그리고 살아남았다고 안주하는 시점에 다시 저렴한 비용을 제시하면 경쟁자가 나타난다. 다시 평가 기준이 살아남은 기업에게 드리우며 다시 한번 제 살을 깍아야 할지 고민한다. 우리가 생각하는 합리적인 선택을 하는 S/W 시장의 모습인가?
시장에서 형성되는 적정한 유지보수 비용?
취약점을 식별하고 대응하는 부분은 유지보수의 일환으로 볼 수 있다. 원활한 유지보수를 위해 충분한 인력과 시간이 필요하면 이는 결국 비용 문제로 귀결된다. 기업이 개발하는 S/W가 완전 무결할 수 없다는 불변의 진리속에, 취약점 찾고 패치하여 개선하는 적극적인 대응을 하려면 추가적인 비용이 필요하다는 것이다. 하지만, 우리나라 환경은 충분한 유지보수 비용을 보장 받기 어렵다. 이전 문단에서 언급한 것 같이 “최대한 싼 비용으로 계약을 따고, 최소한의 유지보수를 또는 무상 유지보수 기간을 최대한 확보하려 한다.” 최소한의 투자로 최대 이익을 얻어야 하는 이윤 창출 방법에 따르면 당연한 논리이지만 결과적으로 전체적으로 시장의 크기가 증가하여 최대의 이익을 내고 있는가?
유지보수 요율은 S/W 개발사가 본인들이 만든 S/W 모습과 기업 구조 등을 고려하여 본인들의 상황에 맞는 유지보수 요율을 계산하는 것이 일반적이다. 사실 S/W 개발사가 아닌 곳에서 적절한 유지보수 요율을 내놓을 수 없는 것이 당연하다. 그러나 우리는 적정 유지보수 요율에 대한 가이드를 법정단체에서 내놓고 있으며 적정 유지보수 요율의 범위를 제시하고 있다. 사실 유지보수 요율 계산 방식에 대한 내용을 법정기관에서 제시하는 것도 합리적인지 고민해볼 문제인데, 적정 유지보수 요율 제시하고 있다는 것은 사실 납득하기 어려운 부분이다.
평균적인 수치이니 양보한다고 가정하더라도 난이도가 높으며 많은 기능을 탑재하고 있는 S/W라면 더 많은 유지보수 요율을 책정해야 한다. 그리고 이 내용을 가이드에서도 그럴 수 있는 가능성을 열어두고 있다. 그러나, 과연 그 가능성이 현실에 적용될 것인지 생각해봐야 한다. 아니 적용되지 않는 것이 우리의 현실이다.
결국...
취약점이 있는 제품을 공급하더라도 사전에 찾기 어려우며 제재도 어렵다. 더구나 품질 평가 체계도 부족하거나 형식적이기에 가격 경쟁에서 살아남으면 된다. 과연 이상적으로 바라보고 있는 시장의 모습인가?
즉, “정부가 개입하면 시장이 죽는다”는 주장은 이미 제대로 작동하지 않는 우리의 현실적인 시장을 이상적인 시장으로 가정한 논리적 오류를 내포한다.
4. 보안 패치 시장이 ‘자연스럽게 형성될 것’이라는 전제의 문제
KISA의 보안 취약점 클리닝 서비스와 같은 사업을 통한 정부 개입을 선호하지 않는 분들의 주요 의견은 다음과 같다고 생각한다.
그러나 이는 닭이 먼저냐? 달걀이 먼저냐?의 문제로 이어진다.
- 요구사항이 있으므로 비용 지불이 일어날 수 밖에 없다. → 그러므로 시장이 형성될 것것이다.
- 요구사항이 있다고 하더라도 지불되는 비용이 충분하지 않을 것이다. → 시장에 합리적 비용 지불이 없다면 시장이 형성되지 않는다.
- 좋은 S/W 개발 및 운영을 위해 기업의 투자해야 한다. →그러나 고객은 합리적인 비용을 지불하지 않는다.
- 고객은 비용을 지불하니 시장이 형성된다. →그러나 시장은 이미 최소 비용 입찰 중심이다.
기업의 투자, 고객의 선택, 비용의 지불, 유지보수 비용의 적정성 어떤 것을 먼저 하면 시장이 자연스럽게 형성될 것인가? 기업은 ‘국가를 위해 희생하듯’ 손해를 감수하고 시장에 뛰어들어 사회적 역할을 다해야 할까?
이런 구조에서 자생적 시장 형성이 가능할 것이라고 기대하는 것은 비현실적이다.
5.어떻게 해야할까?
정부의 사업 추진에 대해 “정부가 개입하면 기업이 나태해진다”는 지적은 충분히 할 수 있는 지적이라 생각한다. 하지만 시장을 기다리는 정부 기관의 입장을 생각해보면 시장이 생겨날 때까지 발생할지 모르는 피해를 막기 위해 기업을 지원하는 즉 간접적인 역할만 하면서 지켜봐야 한다. 어찌보면 지켜보는 포지션이 더욱 편할 수 있다. 하지만 최근 일어나는 침해사고 및 개인정보 유출 사고들을 보면 그냥 두고 볼 수 있는 상황은 아닐 것이다. 국감에서 의원들의 질타에도 아무런 활동을 하지 않고 방치할 수는 없지 않은가?
결국 시장에 필요한 공급과 사회 전반의 안전을 도모하기 위해 할 수 있는 노력을 하면서 기업을 키워주다 보면 시장이 움직일 수 있다는 기대를 갖으며 사업을 추진하게 된다. 나아가 제도적인 뒷받침까지 더해진다면 정말 시장이 만들어질 수 있는 기회가 생길 수 있다.
다시 말해 현실적인 시장이 우리가 생각하는 이상적인 시장의 모습이 아니므로 정부가 먼저 동력을 제공하고 사회적 안전을 도모하면서 제도를 정비하면서 시장이 움직일 수 있는 방향을 제시하는 것은 시장의 공백이 만든 위험을 최소화하기 위한 현실적 조치에 가깝다고 할 수 있다.
6. 결론
보안 취약점 클리닝 서비스 논쟁은 ‘정부 vs 기업’이 아니라 한국 S/W 산업의 구조적 문제를 드러내는 신호로 바라봤으면 한다. KISA의 보안 취약점 클리닝 서비스를 단순한 기술 서비스가 아니라, 시장 구조의 취약성과 국민 보호 사이에서 정부가 어떤 역할을 해야 하는지를 묻는 사례로 바라보는 것은 어떨까 싶다.
정부 개입을 비판할 수는 있지만, 그렇다고 기업이 시장 논리만으로 취약점을 신속히 패치하고 국민 피해를 최소화할 것이라는 보장은 없다. 결국 논쟁의 핵심은 이 질문으로 귀결된다.
그리고 또 하나의 질문도 남는다.
위 두가지 질문의 답변이 명확하기 전까지 KISA의 보안 취약점 클리닝 서비스는 위 질문들이 해결되기 전에 필요한 안전장치일 수도 있다. 🆃🆃🅔
Related Materials
- [1] 2024년 사이버위협 사례 분석과 2025년 사이버위협 전망 - 한국인터넷진흥원(KISA) , 2024년
- [2] 2025 범부처 정보보호 종합대책 정리와 과제 - 엔키시큐리티 , 2025년
- [3] [연말기획] 주요 이슈와 사건·사고로 살펴본 2024 대한민국 보안 이슈 - 보안뉴스 , 2024년
- [4] SW사업 대가산정 가이드(2024년 개정판) - 한국소프트웨어산업협회 , 2024년
- [5] 공공SW 유지보수 사업, 예산 사각지대 해소해야 - 소프트웨어정책연구소(SPRI) , 2025년
- [6] 2024 사이버 위협 동향 보고서 - 라자루스데이 , 2025년
Donghwi Shin
문가용 기자
Donghwi Shin
