국정원 해킹 논란 '국민 백신 프로젝트'에 업계는 우려

[이데일리 김현아 기자] 시민사회단체들이 국정원의 스마트폰 해킹 프로그램 RCS(원격조정시스템) 활용에 대항하는 ‘국민 백신’ 프로젝트를 시작한다고 공식화한 가운데, 우려의 목소리가 커지고 있다.

(사)오픈넷, 진보네트워크센터, P2P재단코리아준비위원회 등은 30일 오전 10시 국회 토론회에서 베타버전을 공개한 뒤, 백신의 소스코드를 공개하면서 국민들로부터 개발자금을 모으는 소셜 펀딩 방식으로 ‘오픈백신(가칭)’을 개발할 예정이다.

이들은 직접 백신 개발에 나선 이유를 기존 보안 회사들이 RCS의 취약점에 대해 업데이트하는 데 소홀한 데다 누군지 모르는 제3자의 해킹 위험에 처해 있는 국민의 정보인권을 보호하기 위해서라고 밝혔다. 능력있는 개발자들의 재능 기부를 받아 스마트폰 안드로이드 OS와 윈도우 PC용 백신을 만들고, 이를 무료로 배포하겠다는 의미다.

그러나 오픈넷 등의 주장에 대해 국내 보안 업계는 사실과 다르다며 억울하다는 입장이다.

최상명 하우리 수석연구원(CERT장)은 “오픈넷에서 국내 백신에서는 RCS의 취약점에 대해 업데이트 하지 않는다고 하는데, 인터넷에 유출된 해킹팀의 400기가 바이트의 자료를 뒤져 열심히 업데이트 하고 있다”고 밝혔다.

안랩과 이스트소프트 역시 인터넷에 공개된 이탈리아 스파이웨어 제작업체 해킹팀 자료를 분석해 대량 업데이트를 진행하고 있다고 설명했다.

보안 업계 관계자는 “오픈소스 프로젝트를 해 본 분들이 이런 프로젝트를 띄우는 것인지 의심이 간다”면서 “저기에 백도어라도 설치하면 뒷감당이 어렵다”고 밝혔다.

오픈넷 등의 국민 백신이 RCS에 국한된 국민불안 해소 차원에 머물러야 한다는 지적도 나온다.

김승주 고려대 정보보호대학원 교수는 “백신만으로는 RCS 문제를 해결할 수 없고, 어도비나 구글 등도 이런 취약점들이 발견되면 자사 솔루션에 미치는 영향을 분석하고 나름의 역할을 해야 한다. 공짜 백신은 민간시장을 교란시키는 일에 불과하다”고 비판했다.

그는 “국내 보안 회사들도 RCS에 대응하고 있는데 그렇지 않다는 오픈넷은 사과해야 할 것”이라며 “안랩은 물론 국내 보안 회사들이 정치 이슈에 뛰어들기를 꺼리는 것은 합리적인 증거보다는 구호로 논란만 키우는 특성이 있고 사업에도 전혀 도움이 되지 않기 때문”이라고 부연했다.

같은 맥락에서 야당의 국민정보지키기위원회 전문위원에는 국내 보안 기업 중 큐브피아 권석철 대표 단 한 명만 참여했다.