[디지털데일리 이민형기자] 외부에서 기업내부로 들어오는 악성 파일들을 차단하기 위해 도입된 보안솔루션이 오히려 고객의 기밀정보를 대외에 누출하고 있다는 지적이 나오고 있다.

일부 보안솔루션들이 파일의 악성행위를 판단하기 위해 바이러스토탈(VirusTotal)에 해당 파일을 업로드하고 있다는 정황이 포착됐기 때문이다.

23일 보안업계 관계자는 “최근 바이러스토탈에 업로드된 분석파일을 살펴보면 공공기관 이메일 자료들을 쉽게 찾아볼 수 있다. 이는 보안솔루션이 바이러스토탈의 API를 사용해 자동업로드, 분석한 것으로 추정된다”며 “바이러스토탈에 업로드된 파일은 전세계 보안업체와 기관들에게 공유되기 때문에 주의가 필요하다”고 강조했다.

바이러스토탈은 구글이 2002년 9월에 인수한 악성코드, 악성URL 분석 서비스다. 최대 57개의 안티바이러스(백신)을 사용해 해당 파일이 악성파일로 등록돼 있는지를 분석해준다. 카스퍼스키랩, 맥아피, 노턴 등 외산 백신을 비롯해 국내 백신 엔진도 등록돼 있어 편리하게 악성코드 유무를 확인할 수 있는 장점이 있다.

특히 바이러스토탈은 API로 활용할 수 있다는 강점이 있다. 인바운드 어플라이언스 앞단에 API를 붙여 특정 조건을 만족하는 파일을 자동으로 업로드시킬 수 있다. 가령 MS오피스 파일이 인바운드로 들어오면 자동으로 바이러스토탈에 업로드하고 결과를 알려주는 등의 룰셋을 만들 수 있다.

하지만 바이러스토탈에 올라간 정보는 전세계 기업들이 열람할 수 있는 점은 많은 이들이 망각하고 있다. 바이러스토탈의 약관에는 “바이러스토탈에 업로드된 파일은 취소가 불가능하며, 편집, 저장, 공개, 게시, 수정, 복제, 파생 등을 할 수있다”고 명시돼 있다. 악성파일 여부를 파악하기 위해 올린 내부자료가 삽시간에 전세계로 퍼질 수 있다.

이로 인해 아직까지 대비책이 없어 공개되지 말아야 할 악성코드 샘플 등이 바이러스토탈에 올라오는 사례가 나오기도 한다.

바이러스토탈 라이선스에 능통한 한 보안전문가는 “일부 보안업체들은 바이러스토탈 API와 보안솔루션을 그대로 연동하고 있다. 이는 개발이 용이하고 적은 비용으로도 높은 효과를 낼 수 있기 때문”이라며 “하지만 보안솔루션이 바이러스토탈로 넘긴 데이터들이 전세계 보안업체들과 공유된다는 부분을 망각하고 있다”고 말했다.

이어 “보안업체들이 악성코드 대응을 위해 고객사에 요청한 데이터가 오기도전에 바이러스토탈에서 찾은 경우도 있다. 이러한 부분은 주의해서 사용해야 할 것”이라고 덧붙였다.

이뿐만 아니다. 지나친 보안의식으로 인해 내부자료를 스스로 외부로 유출시키는 사례도 비일비재하게 발견되고 있다. 바이러스토탈에서는 우리나라 기업, 기관에서 쓰이는 내부문서들을 심심치않게 발견할 수 있다.

업계 관계자는 “기업 내부에서 진행한 벤치마크테스트(BMT) 결과보고서나 제안요청서(RFP) 등이 가장 많이 발견된다. 이는 이메일로 받은 첨부파일의 악성행위 여부를 판단하기 위해 개인이 올린 것으로 보인다”며 “하지만 이러한 행동은 개인PC의 보안은 담보할 수 있겠지만 기업의 보안체계를 무너뜨리는 일이 될 수 있다. 기업 보안담당자들은 전 임직원을 대상으로 바이러스토탈 등 클라우드 기반 분석시스템 사용에 대해 교육하거나, 보안정책을 수립해야 한다”고 지적했다.

<이민형 기자>kiku@ddaily.co.kr