가이드라인에서는 업데이트 설정파일 디지털 서명 검증, 업데이트 설정파일 암호화, 실행파일 디지털 서명 검증, 비실행파일 디지털 서명 검증, 제휴 서비스 프로그램 설치시 디지털 서명 검증, PKI 기반 통신채널 보호, 업데이트 서버주소 무결성 검증, 인증서 상태 검사, 실행파일 난독화, 자동업데이트 보안미비 시 기능 삭제 등의 십계명을 제시하고 있다.
최근 해커들은 정상적인 SW 업데이트 과정에 개입해 대량의 PC를 악성코드에 감염된 좀비 PC로 만들고 디도스 공격 및 디스크를 삭제하는 방법을 통해 사이버 공격을 감행하는 것으로 밝혀졌다.
미래부는 원천적인 문제해결과 청정한 정보통신기술(ICT) 환경을 만들기 위해 국가보안기술연구소와 공동으로 주로 사용하는 SW의 업데이트 체계를 점검하고 발견된 보안 문제점이 재발되는 것을 방지하기 위해 SW 업데이트 체계 보안 가이드라인을 개발·배포했다.
점검 결과, 5개 기업 SW 20종에서 제2의 3․20 사이버공격을 유발할 수 있는 취약점이 발견돼 긴급 개선 조치를 취했다.
발견된 취약점은 업데이트 서버가 해킹당하는 경우 해당 SW 사용자 PC 전체에 악성코드를 유포·확산시킬 수 있는 치명적인 수준으로 이를 해당기업에 알리고 긴급 보안패치를 수행했다.
SW 업데이트 체계 보안 가이드라인은 SW 개발기업뿐만 아니라 국가·공공기관에 도입되는 SW 제품의 업데이트 체계에 대한 방향을 제시하고 있다.
가이드라인은 SW 개발 기업에서 자동 업데이트 기능 개발 시 준수해야 할 보안 항목 및 주의사항을 따르지 않을 경우 발생할 수 있는 위험성, 해킹에 악용된 사례 및 문제해결 방안을 제시한다.
한국인터넷진흥원(KISA)은 SW 업데이트 체계 보안 가이드라인에서 제시하는 파일에 대한 서명 검증 모듈을 개발해 무료 배포해 웹하드 기업 등에서 업데이트 파일의 안전한 배포에 활용할 수 있도록 하고 있다.
SW 업데이트 체계 보안 가이드라인 및 서명 검증 모듈은 미래부 홈페이지(http://www.msip.go.kr) 보도자료 게시판 또는 KISA 보호나라 홈페이지(http://www.boho.or.kr) 자료실 게시판을 통해 다운로드 할 수 있다.
오승곤 미래부 정보보호정책과장은 “정부는 이번처럼 기업 제품들의 보안 수준 향상을 위한 토대를 마련하고 기업들은 제품의 보안 수준 제고 활동을 적극 수행해야 하며 그 결과를 국민들의 알 권리 차원에서 공개함으로써 정부․기업․국민의 보안 수준이 향상될 것”이라고 밝혔다.