정부24·나라장터·모바일 신분증 서비스 등 불과 며칠 사이 국가 행정전산망 주요 시스템에서 다수의 장애가 발생했다. 지난 17일 발생한 행정 전산망 마비의 원인은 네트워크 장비인 라우터의 포트 불량이라고 공식 발표됐다.
우선, 이 기고문은 이번 사태의 근본 원인을 소명하자는 의도가 아님을 밝힌다. 다만 이러한 국가 디지털 플랫폼 혹은 대국민 서비스가 '만약 해커에 의한 소프트웨어(SW) 공급망 공격을 받게 된다면'이라는 최악의 가정을 전제하고 작성했다.
외교 무대에서 그리고, 국내 경제 현안에서 무역전쟁으로 시발한 글로벌 공급망 리스크는 기업과 국가의 핵심 전략 의제로 부상했다. 이러한 공급망 리스크는 SW 생태계에서도 발생한다. 그러나 이는 수요·공급의 불균형 문제가 아니라 사이버 공격으로 직결되는 SW 보안의 문제다. 신뢰 사슬 관계에 있는 SW 공급자의 범용 SW 등을 해커가 노리는 것이다.
2021년 세계를 강타한 솔라윈즈 사태에서 보듯이, SW공급망 공격은 한 개의 기업 혹은 기관의 피해로 그치지 않는다. 해당 SW를 사용하는 다수의 기업이 도미노처럼 무너지면서 막대한 사회적 혼란과 재정적 손실을 입히게 되는 것이다.
최근 영국을 국빈 방문한 정부는 양국 정상간 '전략적 사이버 파트너십'을 체결했다. 양국의 국가사이버안보센터는 합동으로 발표한 '사이버보안 권고문'을 통해 북한 해킹 조직의 범용 SW를 대상으로 한 공급망 해킹 수법을 공식으로 확인하고, 피해 예방을 위한 보안 강화를 당부했다. 공급망 공격과 같은 국가 후원 해킹조직의 공격은 어느 한 나라에 국한해 발생하는 것이 아니기 때문에 합동 권고문 발표는 의미가 크다.
보안 취약점이란 제품을 정상적으로 사용하더라도 침입자가 불법적으로 사용자 시스템에서 권한을 도용하고, 운영을 통제하며 시스템상의 데이터를 손상하거나, 부적절한 신뢰를 확보하는 등 행위를 제대로 방지하지 못하는 제품상의 결함을 뜻한다.
이 기고를 읽는 대부분 독자의 개인용 컴퓨터(PC)엔 인터넷뱅킹·정부24와 같은 대국민 서비스를 위한 5~6개의 보안 SW를 설치했을 것이다. 올 초 독일의 유명한 보안 개발자가 블로그에 인터넷 서비스를 위해 설치되는 한국의 보안 SW의 취약점이 해커의 공격 타깃이 될 수 있음을 지적하면서 이슈가 되기도 했다.
모든 프로그램은 기능 및 보안 강화를 위해 주기적으로 업데이트를 실행해야만 한다. 문제는 공격자가 바로 이러한 신뢰 관계를 매개로 하는 패치 업데이트 과정을 공격의 경로로 노린다는 점이다.
공급자와 수요자 관점에서 보면 정부24·인터넷 뱅킹과 같은 대국민 서비스의 경우에 최종 수요자는 바로 '국민'이며, 공급자는 해당 금융기업과 정부가 되는 셈이다. 이에 온 국민의 PC에 설치되기 전에 더욱 철저한 테스트와 한 단계 높은 SW 무결성 검증과 같은 선제적인 대응이 요구된다.
대통령 직속 디지털플랫폼정부위원회는 인공지능(AI)과 데이터의 시대를 맞아, 세계 최고의 디플정 비전 달성을 위한 실현 계획을 발표하면서 2025년 제로 트러스트와 공급망 보안을 적용하겠다고 밝혔다.
모든 일엔 우선순위가 중요하다. 국가 핵심 기반 시설에 납품되는 SW 및 대국민 서비스에 필수 설치되는 보안 SW, 온 국민의 PC에 무상으로 활용되는 SW 등을 대상으로 공급망 공격에 대비하기 위한 상시 점검 체계 마련이 시급하다.
또, 국내 SW 기업의 보안 태세 강화를 위한 인증 제도의 확보 및 안전한 SW 개발을 위한 점검 기준과 가이드 라인도 빠르게 준비되고 공표해야 할 것이다. 작은 사고에도 어떻게 반응해야 하는 지를 일깨워 준 '하인리히의 법칙'을 되새겨야 할 시점이다.
배환국 소프트캠프 대표