이 기사는 2025년 06월 05일 08시25분 thebell에 표출된 기사입니다

아이씨티케이(ICTK)가 자체 개발한 가상사설망(VPN) 솔루션 ‘큐트러스트넷(qTrustNet)’이 재조명받고 있다. 최근 벌어진 국내 이동통신사 유심 해킹 사태의 재발을 막을 수 있는, 지금으로선 가장 강력한 대안으로 거론되는 분위기다. 이번 해킹 공격을 허용한 가장 유력한 경로로 지목되는 ‘스택 버퍼 오버플로우(Stack Buffer Overflow) 취약점’에 대한 안정성을 입증하면서다.

시장에선 지난달 발생한 국내 이동통신사 유심 해킹은 글로벌 가상사설망(VPN) 업체 ‘이반티(Ivanti)’의 VPN 장비의 취약점을 이용한 공격으로 내다봤다. 통신사가 사용한 이반티 VPN에 존재하는 스택 버퍼 오버플로우 취약점을 활용해 악성코드 ‘BPF 도어(BPF Door)’를 침투시킨 방식이 가장 유력하다는 관측이다.

스택 버퍼 오버플로우 취약점이란 프로그램 실행 시 사용되는 ‘스택(Stack)’이라는 메모리에 인증되지 않은 공격자가 조작된 대량의 데이터를 원격으로 주입해 버퍼를 넘치게 한 뒤, 악성 코드를 실행하는 보안 위협이다. 전문가들 사이에서 이번 해킹에 사용된 것으로 알려진 ‘BPF 도어’ 악성코드가 침투했을 가능성이 가장 높다고 여겨지는 경로다.

아이씨티케이는 큐트러스트넷의 스택 기반 버퍼 오버플로우 취약점에 대한 안정성을 입증하기 위해 대구대학교 김창훈 교수 연구실에 성능 테스트 용역을 의뢰했다. 지난해에 이어 올해에도 이뤄진 테스트의 결과는 큐트러스트넷 VPN에선 스택 버퍼 오버플로우 및 인증 체계 취약점이 구조적으로 존재하지 않는다는 점이다.


큐트러스트넷 VPN은 임베디드 리눅스 기반 장비를 클라이언트로 사용하고, 부팅과 동시에 인증 서버와 장치 간 상호 인증을 자동으로 수행하기 때문에 스택 기반 버퍼 오버플로우가 발생할 수 없다는 설명이다.

물리적 복제 방지(PUF) 기술을 기반으로 양자내성(PQC) 알고리즘을 적용한 ‘PQC-TLS 1.3’을 통해 상호 인증을 수행한다는 점도 큐트러스트넷의 강점이다. 이 과정에서 사용되는 모든 개인키는 PUF 보안칩의 ‘시큐어 스토리지(Secure Storage)’에 저장되기 때문에 시스템이 침해되더라도 인증 키가 외부로 유출되는 구조적인 취약점이 존재하지 않다는 점을 확인했다.

회사 내부적으로도 큐트러스트넷 VPN은 스택 버퍼 오버플로우 취약점이 근본적으로 발생할 수 없는 설계가 적용됐다는 점을 재차 확인했다. 특히 이번 공격에 활용된 것으로 알려진 이반티 SSL VPN의 2가지 취약점(CVE-2025-0282, CVE-2025-22457)과는 구조적으로 전혀 다른 방식으로 운영된다는 입장이다.

구체적으론 ‘선 인증 후 접속’이 이뤄지는 큐트러스트넷 VPN 사용 상황에선 ‘침투→은닉→탈취’ 과정을 거치는 해킹 전술이 원천 차단되는 ‘제로 트러스트(Zero Trust)’ 보안이 구현된다는 설명이다.

아이씨티케이는 큐트러스트넷 VPN을 LG유플러스에 이미 공급하고 있다. 스마트 CCTV 등 주요 사물인터넷(IoT) 인프라에 적용돼 있다. PQC 분야 기업으로선 가장 빠른 속도로 상용화를 이루고 있다는 평가다.

임해중 ICTK 네트워크보안팀장은 “큐트러스트넷 VPN은 사용자 입력 없이 자동으로 연결되는 구조”라며 “연결 과정에서 Nginx 및 PHP 기반 인증 서버가 클라이언트 요청을 처리하지만 해당 요청에 대해 형식·길이·필드 수 등 복합적인 검증 로직을 거쳐야만 처리되도록 설계돼 있다”고 강조했다.

그러면서 “VPN 연결 이전 단계에서 PQC 기반의 상호 인증 절차를 반드시 거친다”면서 “이 과정에서 사용하는 모든 개인키는 물리적으로 복제가 불가능한 PUF 칩 내부에 저장되기 때문에 설령 시스템이 침해되더라도 인증 키 자체가 외부로 유출되는 일은 발생하지 않는다”고 덧붙였다.