[단독] 웹사이트 쓸려면 보안은 무시해라?…KOTRA ‘황당한’ 조치

/ 기사승인 : 2009-04-23 13:33:01
- + 인쇄



[쿠키 IT] 코트라가 자사 웹사이트 오류 현상에 대한 해결책을 내놓으면서 사용자들의 컴퓨터를 보안 위협에 노출시키는 방법을 권고해 비난을 사고 있다. 보안업계에서는 “개념이 없어도 한참 없는 조치”라며 어이없다는 반응을 보이고 있다.

23일 코트라에 따르면 지난 17일부터 코트라 웹사이트에는 인터넷 익스플로러6(IE6) 사용자에 한해 로그인 오류 현상이 일어났다. 이에 코트라는 지난 20일 웹사이트 공지를 통해 “마이크로소프트(MS) 보안업데이트(KB963027)와 웹사이트의 SSO(Single Sign On) 모듈간의 충돌”이 원인이었다고 설명했다.

앞서 MS는 16일 공지를 통해 “KB963027 업데이트를 설치한 IE6에서 웹사이트 접속시 장애가 발견됐다. 금융 기관과 공공 기관을 포함해 상당수의 고객사에서 유사한 증상을 문의했다”며 “문제 원인을 파악한 결과 보안 패치의 결함은 아니다. 따라서 각 웹 사이트의 액티브X 개발자가 코드를 수정해야 하는 사안”이라고 밝혔다.

하지만 코트라는 20일 공지와 함께 웹사이트의 정상적인 사용을 위해서 이 보안업데이트를 삭제하라고 권고(위 사진)했다. 보안업데이트의 결함이 아니라는 것이 밝혀졌음에도 삭제를 권고한 것이다.

윈도 보안업데이트는 MS가 IE에 대해 새롭게 보고된 보안 취약점을 해결해 주기 위해 사용자 컴퓨터에 자동 설치해주는 소프트웨어다. 따라서 이를 삭제하면 사용자 컴퓨터는 해당 취약점에 고스란히 노출된다. 더구나 MS는 지난 15일 이 업데이트에 대한 공지 사항을 띄우며 이번에 새롭게 보고된 취약점들에 대한 심각도를 ‘긴급’, ‘중요’로 명시했다.



이에 대해 코트라측은 어쩔 수 없었다는 입장이다.

코트라 관계자는“코드 수정 작업으로 해결이 되지 않아 불가피하게 보안업데이트 삭제를 권고한 것”이라며 “직원들까지 홈페이지 접속을 못하고 있는 상태에서 어쩔 수 없었다. 코드 수정 작업을 통한 해결책은 지금도 찾고 있는 중”이라고 말했다.

그러나 어쩔 수 없는 조치였다고 해도 코트라가 비난을 면할 수 있는 것은 아니라는 지적이다. 일반적인 사용자들의 대부분이 컴퓨터 보안에 대한 깊은 소양이 없다는 점을 감안하면 공지에 구체적인 상황 설명, 윈도 보안 업데이트를 삭제하는 것의 의미, 삭제 후 사용자가 할 수 있는 보안 관련 대책 등을 같이 설명했어야 한다는 것이다.

익명을 요구한 보안업계 한 관계자는 “이번 오류는 IE6 사용자들에 한해서만 일어났기 때문에 정 방법이 없었다면 IE7이나 IE8로 웹브라우저 업데이트를 권고하는 것이 옳았다”며 “ 웹브라우저 업데이트가 돈이 드는 것도 아닌데 왜 아무런 설명도 없이 그런 방법을 내놨는지 이해가 안 간다”고 언급했다.

또 다른 관계자는 “한국의 보안 의식 현실을 보여주는 어이없는 조치”라고 꼬집었다. 코트라는 본보의 취재가 시작되자 현재 IE6을 IE7로 업그레이드하라고 23일 조치 벙법을 바꾼 상태다. 국민일보 쿠키뉴스 김현섭 기자
afero@kmib.co.kr

▶뭔데 그래◀ 김연아 연예인급 행보, 문제 없나