IT 먹통사태 근본 해결책은 새로운 SW 배포방식!

전세계 IT보안과 소프트웨어 개발 개선 방안

최근 독일 베를린 브란덴부르크 공항에서 발생한 IT 장애는 단순한 기술적 문제를 넘어, 전 세계에 미치는 영향력을 보여주었습니다. 이번 사건은 소프트웨어 공급망의 취약점을 드러냈습니다. 미국 마이크로소프트(MS) 클라우드 서비스의 장애로 인해 발생한 끔찍한 결과는 데이터베이스에 저장된 고객들의 정보를 포함해 전 세계 여러 산업에 영향을 미쳤습니다. 승객들은 비행편 결항 소식에 혼란을 겪었고, 호텔 프론트 데스크에서는 체크인에 문제가 발생했습니다. 이는 보안 소프트웨어를 제공하는 기업이 배포한 업데이트 오류가 주된 원인으로 밝혀졌습니다. 이와 같은 사례는 IT 시스템의 필수적인 안전장치인 보안 소프트웨어의 품질과 관리가 얼마나 중요한지를 다시 한번 강조합니다.

보안 소프트웨어 업데이트의 문제점

대표적으로 크라우드스트라이크와 같은 유명 보안 회사의 업데이트 파일과 MS의 윈도 파일 간의 충돌이 발생했습니다. 이런 충돌은 해당 보안 소프트웨어의 배포 과정에서 충분한 테스트가 이루어지지 않았음을 시사합니다. 통상적으로 기업은 소프트웨어를 배포하기 전에 다양한 환경에서 충분한 테스트를 수행해야 하지만, 이번 사건에서는 이러한 테스트가 미흡했습니다. 결국 고객사와 사용자들이 직접적인 피해를 입게 되는 결과를 초래했습니다.

소프트웨어 보안 강화의 글로벌 대응

세계 각국 정부는 이러한 IT 보안 문제가 재발하지 않도록 다양한 제도를 마련하고 있습니다. 미국의 경우 연방 정부에 납품되는 소프트웨어의 보안을 강화하기 위해 '지침 준수 및 자체 증명' 서류 제출을 의무화했습니다. 유럽연합(EU) 또한 디지털 기기의 사이버복원력 법안을 통과시켜 소프트웨어 개발과 배포의 품질과 안전 관리 의무화를 추진하고 있습니다. 특히, 미국, 일본, 인도, 호주 등 4개국은 주요 기반 시설의 사이버 보안 향상을 위한 협력 체계를 구축하였습니다.

한국의 소프트웨어 공급망 보안 방안

우리나라 역시 과학기술정보통신부, 국가정보원, 디지털플랫폼정부위원회 등 여러 기관이 협력하여 '소프트웨어 공급망 보안 가이드라인'을 개발했습니다. 이 가이드라인에 따르면, 소프트웨어를 제공받는 공공기관이나 기업은 선제적인 예방조치를 취해야 합니다. 예를 들어, 정기적인 소프트웨어 공급업체의 평가와 모니터링이 필요하며, 백신 프로그램도 실시간으로 업데이트 되어야 합니다. 또한 강력한 내부 보안 지침을 마련하고, 보안 사고 발생 시 비상 대응 계획을 수립해야 합니다.

소프트웨어 자재 명세서(SBOM)의 필요성

마지막으로, 기존 소프트웨어 개발 및 배포 시 품질 안전 관리를 새로운 방식으로 처리하기 위한 '소프트웨어 자재 명세서(SBOM)' 도입이 논의되고 있습니다. SBOM은 소프트웨어의 구성 요소, 라이센스 정보, 취약성 정보를 모두 기록하여 소프트웨어 개발의 투명성을 높입니다. 이는 관리와 품질 보증을 통해 잠재적인 취약점을 사전에 식별하고, 보안 사고 발생 시 원인 규명이 용이해지는 이점을 제공합니다. 이와 같은 접근법은 소프트웨어 개발 및 배포의 전반적인 품질을 향상시키는 중요한 수단으로 평가받고 있습니다.

이번 전세계적인 IT 장애 사건은 단순한 기술적 결함이 아닌, 소프트웨어 공급망의 취약성이 드러난 사건입니다. 효과적인 보안 관리는 이제 선택이 아닌 필수로 자리잡고 있습니다. 각국 정부와 기업들이 관심을 가지고 이 문제를 지속적으로 연구하고 해결 방안을 마련하는 것이 시급합니다.