정부가 보안 취약점에 빠르게 대응하기 위해 전 국민 대상으로 소프트웨어(SW) 패치를 자동 업데이트하는 서비스에 나선다. 개발사가 발 빠르게 패치를 개발해도 사용자가 별도로 업데이트하지 않으면 무용지물이기 때문이다.
15일 정보보호산업계에 따르면 한국인터넷진흥원(KISA)은 기업·개인이 사용하는 스마트폰·노트북·개인용컴퓨터(PC) 등에 설치된 SW 보안 취약점에 신속하게 대응하기 위한 '보안취약점 클리닝 체계'를 구축, 내년 1분기 서비스(C-Clean)를 시작한다.
C-Clean 서비스는 사이버 공격에 악용 중이거나 악용될 위험성이 높은 SW 취약점을 자동 진단·제거하고, 알림 창을 통해 사용자 동의를 받아 최신 SW 패치 자동 업데이트를 지원한다. 이를 위해 과학기술정보통신부, 국가정보원, KISA, 백신개발사와 SW개발사 간 클리닝 협력 체계도 구축한다.
구체적으로 KISA가 취약점을 SW개발사에 전달하면, SW개발사는 취약점을 보완한 보안패치를 KISA에 제출한다. 이후 KISA가 패치 파일을 백신사에 전달하면 백신사는 이를 반영해 고객 디바이스에 해당 SW 설치 여부를 진단, 긴급 삭제 및 패치를 자동 적용하는 식이다.
국내 백신사는 안랩(V3), 이스트소프트(알약), 에브리존(터보백신), 시큐리온(onAV) 등 8개사다. 이를 위해 백신사는 악성코드 진단·삭제 기능과 별개로 취약점 탐지·삭제 기능과 패치 적용 기능 등이 추가로 필요하다. 현재 KISA는 백신사와 관련 내용을 논의 중으로 아직 사업자는 확정하지 않았다.
이번 서비스는 지난 매직라인 패치 과정에서 착안했다. 정부는 지난 2023년 11월 매직라인 패치 개발에도 취약점 버전이 남아 있는 PC가 많아, 기업·기관을 대상으로 V3·알약·하우리 등 백신을 통해 매직라인 구버전이 자동으로 탐지·삭제 조치한 바 있다.
정부가 보안 취약점 대응에 적극적으로 나선 것은 해커가 SW 취약점을 파고들어 공격 속도를 높이고 있지만, SW개발사가 보안 패치를 개발해도 국민들은 자신의 PC에 취약한 SW가 설치됐지도 알지 못해 사이버 위협에 노출되기 때문이다.
특히 보안인증SW 경우 개발사에서 패치를 개발한 뒤 금융·공공기관이 패치를 배포하고 이용자가 적용하기까지 장시간이 소요된다. 실제 안랩 시큐리티 대응센터(ASEC)에 따르면, 지난 2023년 3월 국내 보안 인증 프로그램 '매직라인(MagicLine4NX)' 패치를 마련했으나, 같은 해 11월까지 매직라인 취약점 버전이 깔린 PC 249만1719대를 탐지한 바 있다.
KISA 관계자는 “해킹 위험도가 높은 고위험 취약점을 대상으로 우선 제공하고, 점차 확대할 예정”이라며 “사전 동의를 구할지 패치 적용 때마다 동의를 얻을지 등 상세한 동작에 대해 아직 검토를 진행 중”이라고 말했다.
조재학 기자 2jh@etnews.com
![[보도! 그 후]로보락, 개인정보 中 전송 의혹 정면 돌파 “美 서버에서 수집·관리”](https://img.etnews.com/news/article/2025/05/26/news-p.v1.20250526.902c5c470a4943049759cff62daed955_P1.jpg)
