제2의 IT먹통사태 막으려면…"SW 배포방식 뜯어 고쳐야" [글로벌 IT대란②]

등록 2024.07.21 08:01:00수정 2024.07.21 08:12:52

세계 곳곳 공항·병원·기업 '멘붕' 원인은 보안 제품 업데이트 결함

기술 오류와 사이버 해킹에 취약한 SW 업데이트 방식

세계 각국 정부도 SW 배포방식 개선 제도화…韓 SW공급망 보안 가이드라인 배포

[쇤펠트=AP/뉴시스] 19일(현지시각) 독일 쇤펠트에 있는 베를린 브란덴부르크 공항에서 많은 승객이 장애로 작동하지 않는 전광판 주변에 모여 있다. 미국 마이크로소프트(MS) 클라우드 서비스에 장애가 발생하면서 전 세계 곳곳 통신 중단 문제가 발생해 미국, 유럽, 호주 등지 일부 항공편이 결항하고 호텔에서도 체크인 등에 어려움을 겪는 등 피해가 속출했다. 2024.07.19.

[서울=뉴시스]송혜리 오동현 기자 = 19일(한국시간 기준) 발생한 전세계 IT대란은 대표적인 소프트웨어(SW) 공급망 관리 부실 사례로 기록될 전망이다.

세계 곳곳 공항과 병원·기업·기관들의 업무용 PC를 마비시킨 원인이 보안 서비스의 회사의 업데이트 파일 오류로 밝혀졌기 때문이다. 크라우드스트라이크라는 보안 회사의 제품 업데이트 파일이 마이크로소프트(MS) 윈도 파일과 충돌했던 것.

IT전문가들은 이해할 수 없다는 반응이다. 세계 유명 보안 회사인데 업데이트 파일 배포 전 고객사의 운영체제(OS)와의 충돌 여부를 테스트하는 과정이 부실했다는 설명이다. 한번 설치되면 전체 고객사의 시스템에 영향을 미치는 현재의 SW 배포 방식에 문제를 제기하는 시각도 있다. SW 개발부터 배포 방식까지 전체적인 프로세스를 재점검해야 한다는 것이다.

취약한 SW 배포방식에 따른 사이버 대란은 이미 세계 보안 당국의 핵심 의제다. 세계 각국은 현재 SW 개발·배포 관련 품질과 안전관리를 의무화하는 분위기다. 미국은 연방 정부에 납품되는 SW제품의 보안 강화를 위해 '지침준수·자체 증명' 등의 서류 제출을 의무화했고, 유럽연합(EU)은 지난달 디지털 기기의 사이버복원력 법안(CRA)을 확정·승인했다.

미국, 일본, 인도, 호주 등 4개국은 주요 기반 시설의 사이버보안·공급망 위험관리 등 대응 역량을 강화하도록 하는 '안전한 SW를 위한 공동 원칙'을 제정했다.

우리 정부도 과학기술정보통신부, 국가정보원, 디지털플랫폼정부위원회 등을 중심으로 민·관 협력을 바탕으로 'SW 공급망 보안 가이드라인'을 마련했다.

이 가이드라인에 따르면, SW를 제공받는 공공기관이나 일반기업들도 선제적인 예방조치를 취하는 것이 바람직 하다. 가령, 정기적인으로 소프트웨어 공급업체 평가 및 모니터링이 이뤄져야 하며 백신프로그램도 실시간 업데이트해야 한다. 강력한 내부 보안 지침을 마련하고 만약 보안 사고 발생을 대비해 비상 대응계획도 수립해야 한다.

한편, 기존 SW 개발·배포시 품질안전 관리의 대안으로 '소프트웨어 자재 명세서(SBOM, Software Bill Of Materials)' 도입 방안도 활발히 논의되고 있다.

SBOM은 제조업에서 쓰는 자재명서서(BOM, Bill Of Materials)를 소프트웨어에 결합시킨 합성어다. BOM은 제품을 구성하는 모든 재료와 품목분류 코드, 단가, 원산지 등을 상세히 기재함으로써 자재 수나 요소 등에 변동이 생길 경우에 이를 효과적으로 관리할 수 있다.

SBOM도 마찬가지다. 해당 SW가 어떤 요소로, 어떤 과정을 통해 만들어졌는지 또 타 SW와 융합은 어떤 형식으로 했는지 등을 모두 기록한 문서다. 운영체제, 구성요소, 라이선스 정보, 취약성 정보 등을 담는다. SW의 모든 요소와 정보를 확인 할 수 있기 때문에 취약점을 미리 식별하고 모니터링할 수 있다. 또 보안 사고가 발생했을 때 어떤 부분에서 문제가 발생했는지 파악도 쉽다. 쉽게 말해 SW 개발·배포 과정의 품질을 보증하기 위한 제도다.

◎공감언론 뉴시스 [email protected], [email protected]