보안 컴플라이언스/(개인)정보보호 주요 정책 동향

보안 취약점 클리닝 서비스 구축 추진 - 한국인터넷진흥원

경험한사람 2025. 7. 19. 21:39

국민 PC 보안 강화! '보안 취약점 클리닝 서비스'로 디지털 안전망을 구축합니다.



  개요 (취지)   
    디지털 융복합 시대, PC, 태블릿, 스마트폰 등 다양한 디바이스 사용이 급증하면서 우리 생활은 더욱 편리해졌습니다. 하지만 안타깝게도 전 세계적으로 소프트웨어(SW) 취약점은 지속적으로 증가하고 있으며, 해커들은 새로운 취약점을 발견한 후 평균 4.76일 만에 공격을 시작할 정도로 빠르게 악용하고 있습니다.
    특히, 공인인증서 처리 등을 위해 금융·공공 홈페이지 사용 시 필수로 설치하는 보안인증SW의 경우, 제조사에서 패치를 개발해도 실제 이용자 디바이스에 적용되기까지 장시간이 소요되어 해킹 위협에 상시 노출되는 문제가 있었습니다. 일례로, 국내 금융SW 취약점 패치 배포에 1개월 이상이 걸린 사례도 있으며, '매직라인'과 같은 보안인증SW의 취약점 악용 사례는 4개월 이상 지속되기도 했습니다. 이로 인해 개인 정보 유출 및 금전적 피해, 심지어는 해킹 경유지로 악용될 우려까지 커지고 있는 상황입니다.
이러한 문제를 해결하고 국민의 디지털 안전을 지키기 위해, 정부는 기업 및 개인이 사용하는 디바이스 내장 SW의 보안 취약점을 적극적으로 조치할 수 있는 "보안취약점 클리닝 체계" 구축을 추진합니다.

 

  '보안취약점 클리닝 서비스'의 주요 내용    
  이 서비스는 크게 협력체계 구축과 클리닝 체계 운영으로 나뉩니다.

    1. 강력한 협력체계 구축

     ◦ SW 제조사 간의 긴밀한 협력체계를 구축*합니다.
             * 주요 백신사: 안랩(V3), 이스트(알약), 하우리(바이로봇), 잉카(nProtect), SGA(바이러스체이서), 에브리존(터보백신), 엑소스피어, 시큐리온(onAV)
     ◦ 한국인터넷진흥원(KISA)이 전담기관으로서 취약점 신고 접수 및 침해사고 조사를 통해 확인된 취약점을 제조사에 전달하여 패치 개발을 요청합니다.
     ◦ 백신사 및 SW 제조사는 공모를 통해 모집 및 평가·선정될 예정입니다.

    2. 신속한 클리닝 체계 운영

     ◦ 조치 절차
           1) 보안취약점 정보 공유: 협력체계를 통해 취약점 정보를 공유합니다.
           2) 패치 개발: SW 제조사가 취약점을 제거한 보안 패치를 개발하여 KISA에 제출합니다.
           3) 백신사로 정보 전달: KISA는 취약한 SW의 상세 정보 및 패치 파일을 백신사에 전달하며, 백신사에 안전한 정보 전달 및 결과 회신, 운영 이력 관리를 위한 시스템을 구축합니다.
           4) 사용자 디바이스 적용: 백신사는 KISA로부터 전달받은 정보를 백신에 반영하여 자사 고객 PC에서 취약한 SW 설치 여부를 진단하고, 긴급 삭제 및 패치를 자동 적용합니다. 이는 기존 악성코드 진단·삭제 기능과 별개로 취약점을 탐지하고 삭제, 패치를 다운로드하고 적용하는 기능이 추가되는 것을 의미합니다.
     ◦ 시스템 구성: KISA의 클리닝 관리 시스템과 백신사의 클리닝 서버로 구성됩니다.

    3. 왜 정부 지원이 필수적인가요?

      이 서비스는 단순한 기업 투자를 넘어선 국가적인 보안 수준 향상을 위한 핵심 과제입니다.
     ◦ 기업의 한계: SW 제조 기업은 패치 개발에만 주력하고, 백신사는 취약점을 탐지해도 이를 삭제하거나 패치를 업그레이드하는 데 투자하기 어렵습니다. 투자 대비 효과성 확보가 어려운 영역이기 때문입니다.
     ◦ 국가적 피해 예방: 사용자의 디바이스 보안 취약점이 방치될 경우 개인 정보 유출, 금전적 피해뿐만 아니라, 해당 디바이스가 다른 서버를 해킹하기 위한 경로로 악용될 우려가 커집니다. 이는 개인을 넘어 기업 및 국가 전체의 보안 수준 저하로 이어질 수 있습니다.

    4. 중장기 계획 및 기대 효과

    이 서비스는 단기적인 대책을 넘어, 4차 년도까지 안정적인 운영을 목표로 하는 중장기 계획을 가지고 있습니다. 
     ◦ 1차 년도 (2026년): 국내 주요 백신 4사를 대상으로 보안취약점 클리닝 서비스를 구축하며, 보안인증SW 패치 지원에 집중합니다 (총 60억 원 투입)
     ◦ 2차 년도 (2027년): 국내 전체 백신사(8개)로 서비스를 확대 적용합니다 (총 60억 원 투입)
     ◦ 3차 년도 (2028년): 패치 지원 대상을 일반 SW 전체로 확대하고, 시스템을 고도화합니다 (총 60억 원 투입)
     ◦ 4차 년도 이후 (2029년~): 보안취약점 클리닝 서비스의 안정화 및 지속적인 운영을 추진합니다 (연간 38억 원 소요).
이러한 체계 구축을 통해 다음과 같은 긍정적인 효과를 기대할 수 있습니다

     ◦ 사용자 디바이스 보안 수준 향상: 노약자 등 디바이스 관리 능력이 부족한 사용자도 안전하게 디지털 환경을 이용할 수 있게 됩니다.
     ◦  대규모 침해 사고 예방: 국내외적으로 높은 수준의 보안 취약점 발생 시, 기존 1개월 이상 소요되던 패치 적용 기간을 3일 내로 단축하여 실시간으로 위협을 제거하고 보안 패치를 적용함으로써 대규모 침해 사고를 효과적으로 예방할 수 있습니다. (패치 정보 백신사 전달 1일, 백신 탐지·삭제 규칙 반영 1일, 백신을 통한 삭제 1일 소요 예상)


    5. 마지막으로
      '매직라인' 취약점 대응 사례는 이 서비스 구축의 필요성을 여실히 보여주는 사례입니다.

     ◦ 당시 백신 3사를 통한 시범 운영으로 약 100만 건의 취약 버전 SW를 탐지 및 삭제하는 성과를 거두었으나, 적용 범위 제한 (기업 대상만), 효과 분석의 한계, 백신사 참여 확대의 필요성, 그리고 범국가적 대응 체계의 부재와 같은 한계점을 확인했습니다. 이를 극복하기 위해 국가 차원의 상시적인 "보안취약점 클리닝 체계" 구축이 절실하다는 결론에 이르렀습니다.
     ◦ 이제 정부와 유관기관, 그리고 보안 기업들이 협력하여 국민들이 더욱 안심하고 디지털 생활을 누릴 수 있는 강력한 보안 환경을 만들어 나갈 것입니다.


보안 취약점 클리닝 서비스 운영 안내    
     ◦ KISA와 과기정통부는 잉카인터넷과 협력하여 보안 취약점 클리닝 서비스를 2025년 7월 7일부터 시범 운영
     ◦
해당 서비스는 백신 프로그램(nProtect)을 통해 사용자의 PC에서 취약한 구버전 SW를 자동으로 탐지·삭제하고최신 버전으로 업데이트하는 기능 제공
     ◦ 백신 프로그램이 설치되지 않은 경우보호나라 보안 공지 및 제조사 홈페이지를 통해 수동 조치 필요
     ◦ 해당 서비스는 향후 타 백신사로의 확대 운영 예정

참고 이미지
    


  우려사항 (보안전문가 관점 개인의견)  
     ◦ 'KISA 소프트웨어 긴급 보안 패치 시스템' 알림창을 위장한 사칭 페이지 -> 악성코드 감염율(실행률) 높아질 가능성  
      백신사 해킹 시 대 국민 적인 악성코드 감염 등 전산 마비 사태 발생 가능성


보안취약점 클리닝 서비 인터뷰   

동영상 서비스가 종료되어 해당 콘텐츠를 재생할 수 없습니다.

 

 

 

 

※ 출처 : 한국인터넷진흥원(KISA), 보안 취약점 클리닝 서비스 구축 추진계획(안)

 

이상.  끝.