정부가 학교 무선망 구축 사업에서 와이파이6 AP 장비에 해킹에 취약한 원격 제어 프로토콜을 적용키로 방침을 정하면서 이에 대한 논란이 커지고 있다.

와이파이 설비 제조·설계·공사 업체들은 교육기관 보안성 확보를 위해서는 해당 기술을 채택해서는 안 된다고 반발하고 있다.

■'TR-069' 등장에 업계 충격

교육부와 한국정보화진흥원(NIA)은 전국 초·중·고·특수학교 교실 20만9000여곳에 와이파이6(IEEE 802.11ax) 최신 기술이 적용된 무선랜액세스포인트(AP)를 설치하는 '학교 무선망 구축 사업'을 추진하고 있다.

이와 관련, 관련 업계는 이번 사업 내용 중 선뜻 이해할 수 없는 부분이 있다고 지적하고 있다.

NIA가 이 사업에 쓰일 AP와 이더넷전원장치(PoE) 스위치에 대해 TR-069 프로토콜을 이용해 원격 관리가 이뤄져야 한다고 요구한 것이다.

고객 댁내 장치(Customer Premises Equipment, CPE)를 원격 제어하기 위해 개발된 이 프로토콜은 지난 2004년 5월 처음 발표됐으며 CWMP(CPE WAN Management Protocol)로 불린다. 네트워크 장비 산업계에서는 해당 기술이 2013년 이후에는 개선 작업이 이뤄지지 않고 있다고 말한다.

현재 국내에서는 일부 통신사업자의 가정용 모뎀 등에 TR-069가 적용돼 있는 것으로 알려졌다.

기업·사업용(엔터프라이즈) 네트워크 장비에서는 해당 프로토콜을 채용한 사례가 거의 없는 상태다.

엔터프라이즈 장비에는 국제 인터넷 표준화 기구(Internet Engineering Task Force, IETF)가 제정한 '단순망관리프로토콜(Simple Network Management Protocol, SNMP)'의 최신버전인 SNMPv3가 사용되고 있다.

한국 무선랜 산업 역사상 유례를 찾을 수 없을 정도로 대량의 AP를 구매·설치하는 이번 사업에서 NIA가 TR-069를 사용하겠다고 나서자 업계는 당혹해하고 있다. 해당 기술이 생소해서가 아니라 그것에 보안 허점이 있다는 것이다.

■보안 허점 드러나 논란 '일파만파'

무선랜 장비 업계 종사자들은 TR-069가 해킹 등 보안 위협에 취약하다고 지적한다.

와이파이망 설계·구축 전문가는 "TR-069는 통신사들의 CPE를 제어하기 위해 개발된 프로토콜로, 예를 들어 케이블 회선 사업자들이 고객 가정 내에 있는 모뎀을 원격 관리하는 데 쓰인다"며 "와이파이 서비스 규격에는 적합하지 않아 무선랜 장비 제조사 대다수가 적용하지 않고 있다"고 말했다.

무선랜 장비 제조업체 대표는 해당 기술의 해킹 우려에 대해 언급했다. 그는 "지난 2016년 12월 해킹된 가정용 공유기로 구성된 봇넷이 러시아 5대 금융기관을 대상으로 분산 서비스 거부 공격(Distributed Denial of Service, DDoS)을 벌인 사건이 있었다"며 "해킹당한 장비들은 TR-069가 적용됐다는 게 공통점"이라고 말했다.

현재도 구글 등의 검색 포털에서는 TR-069의 취약점을 이용한 다양한 사이버 공격 수법이 검색되고 있는 실정이다.

"이 지경이면 거의 동네북이죠." 수도권에서 정보보안 컨설팅을 수행하는 사업자의 말이다. 그는 "악의적 공격자가 보안 취약점을 통해 AP 관리 권한을 탈취하면 개인정보 유출이나 장비의 좀비화 등 다양한 범죄를 저지르는 게 가능하다"며 "취약점 공격 기법이 지능형 해킹 기술과 결합되면 전국의 학교 무선망에서 '먹통' 상황이 벌어질 수도 있다"고 경고했다. 그는 이어 "AP에서 SNMPv3와 TR-069를 동시에 갖추도록 하는 것은 집에 튼튼한 철문으로 정문을 만든 다음 거적때기로 뒷문을 만든 것으로 이해하면 된다"고 비유를 들었다.

TR-069를 도입해서는 안 된다는 의견이 빗발치자, NIA는 PoE 스위치 장비에 대해서는 TR-069 적용을 포기한다고 한발 물러섰다. 하지만, AP는 해당 기술이 적용돼야 한다며 '버티기'에 들어갔다.

■관계자들, 도입 배경 즉답 피해

어째서 이 같은 일이 벌어졌는지 사업 담당자들을 대상으로 확인에 나섰으나, 상세한 이유는 아직까지도 알 수 없는 상태다.

통화에서 사업을 수행하는 NIA 지능형인프라본부 관계자는 "국회의 국정감사 일정 때문에 즉답이 어렵다"고 말했다. 사업 총괄 기관인 교육부의 코로나19대응원격교육인프라구축과 담당자는 "(해당 사업의) 기술적인 부분은 NIA에서 담당하는 것"이라며 "TR-069에 대해서는 들은 것이 없다"고 답했다.

이들은 어떤 이유로 누구에 의해 TR-069가 등장한 것인지 명쾌하게 말하지 않았다.

와이파이 장비 구축업체 직원은 "무선랜 분야 전문가라는 자부심과 국내 와이파이 산업 발전을 위한 충심에서 TR-069 요구를 철회해달라고 의견을 내기도 했다"며 "하지만 사업 담당자들은 복붙(복사해 붙여넣기)식 답변을 통해 의견을 수용하지 않는다는 답변을 반복했을 뿐"이라고 말했다. "어떤 모멸감마저 느꼈습니다." 수화기 너머로 들리는 그의 목소리는 떨렸다.

NIA 관계자는 "사업 담당자가 부족한 상황에서 민원이 몰리다 보니 유형별로 정리한 답변을 드린 게 오해를 불렀다"고 해명했다.

또한, 다른 관계자는 이번 사업 추진과 관련해 별도의 설명회를 열 계획이라고 말했다. 코로나19 확산 상황을 감안해 설명회는 온라인으로 진행할 방침이라고도 전했다.

■공공분야는 SNMPv3가 '표준'

교육부와 NIA가 네트워크 장비에 TR-069를 요구하고 있는 반면 정부, 지자체, 공공기관 등 공공분야에서는 네트워크 장비의 관리를 위한 프로토콜로 SNMPv3를 사용하고 있는 것으로 확인된다.

한국원자력연구원은 2009년 원전 통신망 보안체계 개발 연구에서 네트워크 장비의 '접근 제어'와 '구성 관리 및 보증'과 관련해 보안 기술 표준으로 SNMPv3를 제시했다.

한국공항공사는 2018년 7월 공개한 '김포공항 광대역통신망(업무망) 네트워크 스위치교체 구매 규격서'에서 네트워크 장비 기술규격으로 SNMPv3 기능 지원을 요구하고 있다.

건강보험심사평가원도 2018년 수행한 '노후장비 교체 및 부족자원 증설 사업'에서 다수의 네트워크 장비에 대해 SNMPv3 지원 제품을 도입했다.

이들 기관은 TR-069에 대해서는 전혀 언급하지 않았다.

공공기관 다수의 정보보안 지침·규칙도 사정은 마찬가지다. 현재 TR-069 프로토콜을 허용하는 규정은 찾을 수 없다.

또한, 국가정보원은 공식 답변을 통해 "국정원은 전자정부법 제56조에 근거, 공공기관의 정보보호시스템 보안 적합성 검증 결과 통보 시 해당 기관에 SNMPv3 사용을 권고하고 있다"고 알려왔다.

업체들은 "몇년 지나지 않아 공교육 온라인 수업에서는 가상·증강현실(VR·AR) 등의 콘텐츠가 쓰이게 될 것"이라고 예측하며 "이번 사업에서는 폭발적으로 늘어날 트래픽에 대응하는 고성능의 안전한 장비가 필요하다"고 강조했다. 이들은 "NIA가 TR-069를 AP 사양으로 요구하는 것은 해당 프로토콜이 적용된 국내 최저가 수준의 저성능 홈오피스용 AP를 도입하기 위해서가 아닌가 의심된다"고 말했다.

또한, 이들은 "외산 장비들 중에는 해당 기술이 적용된 AP가 '전멸 수준'일 정도로 찾아보기 어렵다"며 "만약 사업이 이대로 강행될 경우에는 국내 일부 기업의 장비만 우대하는 결과를 낳게 돼 WTO에 제소될 가능성도 있다"고 우려했다.

박광하 기자 다른기사 보기