Home > Security

중국의 취약점 누설 금지 규정, 세계의 취약점 연구에 영향 준다

  |  입력 : 2021-07-21 17:00
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
중국 정부가 취약점 정보를 독차지 하겠다고 발표했다. 하지만 그 취약점 정보를 어디에 활용할 것인지는 밝히지 않았다. 그래서 찜찜하다. 중국 눈치 보는 기업들이 많기 때문에 더 그렇다. 세계 취약점 연구 전문가들이 이 사태가 어떤 변화를 가져올지 지켜보고 있다.

[보안뉴스 문가용 기자] 중국 정부는 최근 취약점 정보를 누설하는 것을 금지하는 규정을 발표했다. 소프트웨어 취약점을 누구라도 발견할 경우, 해당 소프트웨어의 제조사와 정부에만 알리도록 전 국민에게 명령한 것이다. 이 때문에 중국 보안 전문가들의 취약점 연구 행위가 크게 위축될 것으로 전망된다.

[이미지 = utoimage]


이 논란의 법은 ‘네트워크보안법(Network Security Law)’이라고 하며, 지난 7월 13일 발표됐다. 취약점 정보를 내부적으로만 처리함으로써 중국 망을 안전히 보호하고, 네트워크 장비와 소프트웨어를 만드는 회사가 적극 취약점을 보완할 수 있게 한다는 것이 중국 정부의 설명이었다.

그러나 취약점 연구 진행 방법을 제한하는 내용(예 : 개념증명 코드 공개 금지)과 보안 취약점의 위험성에 대해 과장하는 자들에 대한 엄중한 벌칙도 규정에 포함되어 있어 과연 이것이 정말 보안만을 위한 것인지 의심스러운 것은 어쩔 수 없다.

카네기멜론대학에서 교수를 지냈으며 헌재는 레인캐피탈(Rain Capital)의 총괄 파트너로 활동 중인 보안 전문가 첸시 왕(Chenxi Wang)은 “이 규정으로 인해 중국 보안 전문가들은 해외 파트너들과 협업할 수 없게 되었다”며 “중국의 보안 산업은 ‘왕따’가 되었다”고 설명한다. “결국 중국 전체의 보안 기술력이 크게 저하될 것이 뻔하다”고 덧붙이기도 했다.

또한 이 규정이 중국 내에 거주 중인 사람들에게만 적용되는 것이지만, 전례를 봤을 때 엄격히 확대 적용되어 해외에 거주 중인 중국인들에게도 적용될 가능성이 높아 보인다. 뿐만 아니라 중국 시장에 진출하려는 보안 업체들이 중국 정부의 눈치를 보면서 취약점 정보를 중국 정부에만 제공할 수 있다. 중국의 눈치를 보며 작품을 만드는 할리우드 영화 제작사와 여러 게임사들이 이런 맥락에서 선례를 보여준 바 있다.

데이터 보안 업체인 와이어윌(WireWheel)의 CEO인 저스틴 안토니필라이(Justin Antonipillai)는 “해외에 거주 중인 중국인들과, 중국 시장에 진출하려는 기업들 모두 이 새 규정에 주목해야 한다”고 강조한다.

“중국 내부 사정에 국한된 규정으로 보입니다만 중국 정부가 어떤 식으로 규정을 시행하고 법을 집행할 지는 아무도 예측할 수 없습니다. 중국에 좋은 이미지를 심어주고 싶은 기업의 경우, ‘모든 취약점을 정부에만 알린다’는 게 실무 차원에서 어떤 뜻이 될지 깊이 생각해봐야 할 겁니다. 중국 정부가 해당 취약점을 올바르게 활용하기만 할 거라고 장담할 수 있나요? 중국 진출한다고 했다가 큰 범죄 행위에 연루될 수 있습니다.”

아직 중국 정부가 ‘취약점 정보를 정부에만 제공한다’는 내용의 법을 어떤 식으로 도입해 어떤 방식과 규모로 시행할지는 아무도 모른다. 중국도 이 부분을 구체적으로 밝히지 않고 있다. 취약점 정보를 어디에 활용할 것인지도 공개하지 않고 있다. 마이터 코퍼레이션(MITRE Corporation)의 사업부장인 크리스 레벤디스(Chris Levendis)는 “그 불투명한 부분이 가장 미심쩍은 부분”이라고 지적한다.

“취약점 정보를 모아서 어디에 쓸 거다, 라고 분명하게 밝히는 게 정상이죠. 그렇지 않은 상태에서 무조건 정부말만 들으라고 강제하는 건 투명성과 소프트웨어 보안에 있어서 악영향만 끼칠 것이라고 봅니다. 취약점 공개는, 참여자가 투명하면 투명할수록 높은 효과를 거둬왔습니다. 과거로부터 쌓여온 이 분야의 경험과 자료를 중국은 깡그리 무시하고 있습니다.”

2018년 위협 첩보 전문 회사인 레코디드퓨처(Recorded Future)는 “중국이 치명적인 취약점 공개를 조직적으로 늦추고 있다”는 내용의 보고서를 발표한 바 있다. 공개를 늦춰야 중국 정부 기관들이 취약점을 익스플로잇 해 감시와 검열, 정찰 활동을 마음껏 펼칠 수 있기 때문이라고 당시 레코디드퓨처는 썼었다. 이런 전적이 있는 정부가 취약점 정보를 노골적으로 독차지 했을 때의 결말은 누구나 예상이 가능하다.

중국 보안 전문가들의 버그바운티 활동도 줄어들 전망이다. 보안 업체 베라코드(Veracode)의 CTO인 크리스 와이소팔(Chris Wysopal)은 “보통 버그바운티에 참여할 경우 혹은 특정 회사를 위한 취약점 연구를 시작할 경우, 기밀 유지 협약을 맺는다”며 “중국 보안 전문가들은 앞으로 이 기밀 유지 협약을 지킬 것인지, 중국 정부의 새 규정을 지킬 것인지 고민해야 한다”고 지적했다. “둘 다 어길 수 없는 것들입니다. 차라리 취약점 관련 프로그램들에 참여하지 않는 쪽을 택하겠죠.”

이는 마이터와 NIST의 CVE 관리 프로그램에도 큰 차질이 빚어진다는 소리가 된다. 왜냐하면 현재 마이터와 NIST로 취약점 정보를 제보하는 보안 전문가들 중 40%가 중국인들이기 때문이다. 즉 취약점 관리 데이터베이스가 앞으로 크게 줄어들 수 있다는 것이다. “취약점 데이터베이스의 규모가 어떻게 될 건지는 아직 정확히 모르겠습니다. 다만 분명히 지금과 같지는 않을 겁니다. 중국 정부의 새 규정은 전 세계 취약점 연구와 관리에 영향을 줄 것입니다.”

3줄 요약
1. 중국, 얼마 전 취약점 정보 발설하지 말라는 내용의 규정 발표.
2. 해외에 사는 중국인과, 중국에 진출하려는 보안 기업들 모두 눈치 볼 듯.
3. 마이터와 NIST의 취약점 관리 프로그램에도 적잖은 영향 있을 것으로 보임.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)