전 세계를 멈춘 마이크로소프트(MS)발 '정보기술(IT) 대란'에 '소프트웨어(SW) 공급망 보안'을 전면 재점검해야 한다는 목소리가 나온다. 협력사의 SW 업데이트를 포함한 보안 관리 체계 허점이 전체 클라우드 서비스의 가용성(Availability) 훼손으로 이어졌기 때문이다.
SW 공급망은 SW 개발부터 패치 등 유통, 운영 전 과정을 말한다. 세계가 분산된 생산 체계와 다양한 경로로 연결된 공급망 생태계가 구축되는 초연결 시대가 도래하면서 SW 공급망 보안의 중요성은 더 커졌다. 세계에 흩어진 개발사, 유통(공급)사, 운영사 등 각 단계에서 역할을 완수해야 SW 공급망 전체의 위험이 관리될 수 있다.
전문가들은 이번 사태가 단순히 크라우드스트라이크의 보안 SW 공급망 문제가 아닌 단일 운용체계(OS) 의존성이 문제를 키웠다고 지적한다. MS OS인 윈도에서 신규 SW나 하드웨어(HW)가 충돌을 일으켜 접속 화면이 푸른색으로 나타나는 '블루스크린' 현상은 드물긴 해도 왕왕 있는 일이다. MS는 물론 SW 개발사와 HW 제조사도 블루스크린 오류 해결 방법을 별도로 안내할 정도다.
한국정보보호학회 공급망보안연구회장인 이만희 한남대 컴퓨터공학과 교수는 “다수의 윈도에서 블루스크린 오류가 났어도 항공·예약과 같은 중요 서비스가 중단된 게 문제”라면서 “항공·예약 서비스의 공급망 관점에서 단일 OS에 대한 의존성이 사태를 초래했다”고 말했다.
이어 이 교수는 “많은 엔지니어가 시스템 이중화 수준이면 가용성 측면에서 충분하리라 여겼고 OS 문제는 전혀 예상하지 못한 시나리오”라며 “서비스 공급망 입장에서 시스템 이중화뿐아니라 OS를 포함한 다양한 서비스 이중화까지 고려해야 한다”고 덧붙였다.
한국은 망분리 등 보안 정책과 공공분야의 낮은 외산 클라우드 의존도로 피해가 상대적으로 적었지만, 이번 사태를 반면교사로 삼아야 한다는 의견이 나온다.
염흥열 순천향대 정보보호학과 명예교수는 “우리나라도 글로벌 클라우드 서비스 제공자의 생태계에서 협력사 등 모든 참여자의 SW 공급망 보안 관리체계를 다시 살펴볼 필요가 있다”며 “IT 서비스 중단으로 발생하는 이용기관의 손해보상 등을 위해 서비스 제공자와 이용기관 간 적용되는 서비스수준협약(SLA·Service Level Agreement)의 긴급 점검을 해야 한다”고 말했다.
크라우드스트라이크가 글로벌 보안 SW 개발사로서 책임을 다하지 못했다는 지적도 제기된다.
염 교수는 “통상적으로 SW 업데이트 전에 다양한 시험 환경을 구축하고 부정적 영향이 없는지 철저히 점검·확인한 후에 SW 업데이트를 실시해야 한다”며 “이번 IT 대란은 이러한 보안 기본 과정이 생략되거나 경시됐다고 볼 수밖에 없다”고 꼬집었다.
김용대 한국과학기술원(KAIST) 과학치안연구센터장(전기및전자공학부·정보보호대학원 교수)도 “이번 사태는 충분한 시험·검증을 거치지 않고 패치를 실시한 게 문제”라면서 “크라우드스트라이크가 국가 인프라 격의 제품을 제공하는 만큼 이에 상응하는 책임감을 가져야 한다”고 말했다.
조재학 기자 2jh@etnews.com
