아파트 월패드 해킹 사건으로 온 국민이 경악했다. 가장 개인적 공간에서 가장 개인적 모습이 무방비로 노출된 것을 목도하면서 많은 사람이 '우리 집도?'라는 불안감에 집안 기기의 카메라 렌즈마다 스티커를 붙였단다. 그러나 월패드 해킹은 단지 시작에 불과하다. 제대로 된 보안 의식과 대책이 없다면 머지않아 더 큰 사고가 일어날 수 있다.
애플리케이션(앱)으로 통제하는 가전이나 차량용 인포테인먼트 등 소프트웨어(SW)는 우리 삶에서 큰 비중을 차지하고 있다. 여기다 홈 사물인터넷(IoT)이나 자율주행, 교통 및 전기 제어를 포함하는 스마트도시 시대가 본격화하면 우리 생활은 SW 없이 불가능한 상황이다. SW에 보안 취약점이 있을 경우 이를 악용한 온갖 범죄가 양산될 수 있다는 뜻이다. 개인의 민감한 정보나 사생활 노출을 넘어 도시 인프라의 통제권을 뺏기는, 영화 같은 상황도 남 얘기가 아니게 된다. 특히 SW의 보안 취약점을 이용한 해킹의 경우 해당 SW를 사용한 공급망 전체로 확산될 수 있어 연쇄적이고 광범위한 피해가 초래될 공산이 크다.
이런 보안 위협은 어떻게 막아야 할까. 근본 방안은 SW의 보안 취약점 제거다. SW 개발 단계와 앱 운영, 활용된 오픈소스에서 보안 취약점을 사전에 제거하는 등 이를 악용한 해킹을 막는 거다. 개발자는 보안 전문가가 아니며 개발부터 보안까지 모두 완벽할 수 없기 때문에 잘 만들어진 시큐어코딩 도구 등 전문 솔루션을 활용해 효과적으로 해결할 수 있다.
구체적으로는 설계·구현·테스트 단계에서 소스코드에 존재하는 보안 취약점을 검출 및 조치할 수 있도록 보안을 고려한 개발프로세스를 만드는 시큐어코딩이 우선된다. 또한 지속적 통합/배포(CI/CD) 도구와 연동해서 소스코드를 분석, SW가 출시되면 어떤 취약점이 있고 어떤 공격이 발생할 수 있는지 등을 자동 점검한다. SW 개발 이후 운영 단계에서는 웹 앱에 존재하는 보안 취약점을 동적으로 분석해서 보안을 강화할 수 있다. 오픈소스 관리도 중요하다. 오픈소스 활용이 보편화된 만큼 SW 개발에 사용한 오픈소스 라이브러리뿐만 아니라 부분 사용한 오픈소스 코드의 보안 취약점 점검도 필요하다.
다행스럽게 우리 정부는 시큐어코딩의 중요성을 비교적 일찍부터 인식하고 대처했다. 지난 2012년부터 'SW 개발 보안 의무화'를 실시, 일정 규모 이상의 공공기관 정보화 사업에는 시큐어코딩이 필수다. 반면 민간분야는 이제 시작 단계다. 그나마 금융 및 대기업이 발빠르게 움직이고 있다. 특히 고무적인 변화는 산업군 가운데 보안과 가장 멀다고 여겨지던 건설업계에서 일어나고 있다. 실제로 스패로우의 경우 지난해부터 대형 종합건설사 고객이 증가하고 있다. 홈 IoT에 사활을 걸고 있는 건설업계가 보안의 중요성을 인식하기 시작한 모양새다.
그러나 아직 대다수 중견 및 중소기업의 SW 보안 인식은 현저하게 낮다. 건설사가 아파트에 홈 IoT시스템을 구축하는 사례를 들면 건설사가 IoT 구성에 필요한 기기 및 SW를 하나하나 일일이 개발하는 것이 아니라 다양한 중소기업의 제품을 공급받아 조합한다. 그 가운데 단 하나의 SW에라도 보안 취약점이 있으면 해당 제품을 사용한 모든 아파트 및 주택이 위험에 노출된다.
그럼에도 많은 중소기업이 정보보호 인력과 예산 부족을 핑계로 SW 보안 대책 마련을 내일로 미룬다.
보안 의식과 의지만 있다면 얼마든지 방법은 찾을 수 있다. 실제로 정부 기관 및 민간보안업체 등이 중소기업의 보안 강화를 위한 다양한 지원책을 제공하고 있다. 여러 정부 산하의 진흥원, 협회의 경우 중소기업을 위한 SW 보안 약점 진단 서비스나 IoT 인증 서비스를 무료로 제공한다. 민간보안업체 지원의 한 사례로 스패로우는 별도의 시스템 구축 없이 웹상에서 소스코드와 웹 취약점 분석을 함께 수행하는 무료 클라우드 보안 서비스를 제공한다. 이 밖에도 다양한 바우처 사업 또한 중소기업이 최소한의 보안 조치를 갖출 수 있도록 돕는다.
카메라 렌즈에 붙이는 스티커는 보안 대책이 될 수 없다. SW가 우리 삶에 깊숙히 파고든 오늘날에는 내가 소홀히 한 하나의 작은 빈틈이 사회적으로 막대한 피해를 낳을 수 있다. 우리의 삶을 편안하면서도 안전하게 지키기 위해 모든 기업과 기관이 당장 SW 보안 현황을 점검해야 하는 이유다. 장일수 스패로우 대표