"어? 프로그래밍 실수가 비행기 멈춰 세웠다"…공급망 보안 비상

등록 2024.08.18 08:10:00수정 2024.08.19 15:15:06

[글로벌 IT대란의 교훈②] 원인은 소프트웨어 업데이트 결함

기술 오류와 사이버 해킹에 취약한 업데이트·배포 방식

제2의 '블루스크린 악몽' 막으려면…현재 방식 뜯어 고쳐야

세계 각국 정부도 SW 배포방식 개선 제도화…韓 SW공급망 보안 가이드라인 배포

[제주=뉴시스] 우장호 기자 = 'IT대란'으로 인해 일부 저비용 항공사(LCC)를 중심으로 발권·예약 시스템이 마비된 19일 오후 제주국제공항 3층 출발장 제주항공 발권카운터에 이용객들이 손으로 쓴 티켓을 수령하고 있다. 2024.07.19. woo1223@newsis.com

[제주=뉴시스] 우장호 기자 = 'IT대란'으로 인해 일부 저비용 항공사(LCC)를 중심으로 발권·예약 시스템이 마비된 19일 오후 제주국제공항 3층 출발장 제주항공 발권카운터에 이용객들이 손으로 쓴 티켓을 수령하고 있다. 2024.07.19. [email protected]

[서울=뉴시스]송혜리 기자 = 지난 19일(한국시각) 전 세계를 '멘붕'에 빠트린 '블루스크린 사고' 결정적 주범은 한 글로벌 보안업체의 소프트웨어 업데이트 결함이다. 크라우드스트라이크라는 보안 회사의 제품 업데이트 파일이 마이크로소프트(MS) 윈도10 운영체제(OS)와 충돌했던 것.

전문가들은 소프트웨어 공급망 관리 부실이 또 다른 IT 대재앙을 부를 수 있음을 보여준 상징적인 사례라고 꼬집는다.

업데이트 파일 하나가 일으킨 도미노…세계 곳곳 공항·병원·기업 '멘붕'

소프트웨어 공급망이란 소프트웨어가 개발, 배포, 설치되는 전체 과정과 일련의 활동을 말한다. 예전 패키지 소프트웨어 형태일 때와는 달리, 온라인·클라우드를 '통로' 삼아 제품을 설치하고 주기적으로 제품 업데이트를 진행한다. 컴퓨터를 사용하다 보면 흔히 볼 수 있는 '00 자동 업데이트'와 같은 것들이 이같은 원리다.

하지만 이런 배포 방식에는 치명적 오류가 있다. 만약 제3자가 해킹해 이같은 소프트웨어 업데이트 통로를 악용하거나 이번 사고처럼 기술적 오류가 발생할 경우 제품이 깔린 전체 고객사가 피해를 입게 된다.

앞서 지난 2022년 발생한 국내 보안 기업 이스트소프트의 PC백신프로그램 '알약' 업데이트 오류가 전형적인 소프트웨어 공급망 사고다.

알약 프로그램의 공개용 버전이 업데이트 된 후, 정상 프로그램을 랜섬웨어로 잘못 인식하는 오류가 발생했다. 알약은 문제가 없는 시스템이 보안 공격을 받았다고 분석한 뒤 '랜섬웨어 의심 행위를 차단했다'는 알림 메시지를 내보냈다. 이 오류로 인해 다수의 PC에서 시스템 파일이 삭제돼 운영체제가 정상적으로 부팅되지 않거나, 주요 프로그램들이 실행되지 않는 등 문제가 발생했다. 특히 기업과 공공기관에서 이 피해가 확산돼 업무에 차질을 빚었다.

이번 IT대란에서는 크라우드스트라이크 제품을 쓰는 기업·기관들의 PC가 직접적인 피해를 입었지만, 윈도 기반의 여러 다른 시스템과도 연쇄적으로 충돌하면서 피해가 눈덩이처럼 불었다. 대표적으로 윈도 기반의 글로벌 항공발권 시스템인 '나비테어'에 장애가 발생하면서 이곳 프로그램을 쓰는 전세계 항공·공항의 발권업무가 마비되는 초유의 사태까지 발생했다.

[서울=뉴시스]

항상 대문 열어둔 '업데이트 파일 경로' 해커들에게 빼앗긴다면

문제는 이처럼 기술적 실수나 오류가 아닌 제3의 사이버 공격자에게 업데이트 서버권한을 뺏겼을 경우에는 상상도 못하는 피해가 발생한다는 점이다.

소프트웨어 공급망 공격이라고 부른다. 피해는 이미 시작됐다. 2020년 솔라윈즈의 네트워크 모니터링 소프트웨어에서 백도어가 발견됐다. 이 소프트웨어를 내려받은 기관·기업은 1만8000개 이상에 달했다. 이 사건은 미국 역사상 최악의 사이버 공격 중 하나로 꼽혔다.

지난해 3월엔 국내 주요 기관 60여곳의 PC 210여대가 해킹되는 일이 발생했다. 보안당국이 원인을 파악한 결과, 유명 금융 보안인증 소프트웨어의 보안 취약점이 해킹 통로로 악용됐다. 더욱이 시스템 뒷단에서 작동하는 보조 프로그램이기 때문에, 자신의 컴퓨터에서 해당 소프트웨어가 깔려있는 지 없는 지 잘 모르는 이용자들이 많았다.

가트너는 내년까지 전 세계 조직의 45%가 소프트웨어 공급망 공격을 경험할 것이라며, 공급망 리스크가 더욱 커질 것으로 예측했다. 또 과학기술정보통신부와 한국인터넷진흥원(KISA) 역시 '2023년 사이버 보안 위협 분석과 2024년 사이버 보안 위협 전망'을 통해 올해 주요 사이버 위협 중 첫번째로 소프트웨어 공급망 공격을 꼽았다.

이 때문에 안전한 소프트웨어 배포는 이미 세계 보안 당국의 핵심 의제다.

세계 각국은 현재 소프트웨어 개발·배포 관련 품질과 안전관리를 의무화하는 분위기다. 미국은 연방 정부에 납품되는 소프트웨어제품의 보안 강화를 위해 '지침준수·자체 증명' 등의 서류 제출을 의무화했고, 유럽연합(EU)은 지난달 디지털 기기의 사이버복원력 법안(CRA)을 확정·승인했다.

나아가 미국, 일본, 인도, 호주 등 4개국은 주요 기반 시설의 사이버보안·공급망 위험관리 등 대응 역량을 강화하도록 하는 '안전한 소프트웨어를 위한 공동 원칙'을 제정했다.

[뉴욕=AP/뉴시스] 19일(현지시각) 미국 뉴욕의 타임스퀘어 광장에서 시민들이 통신 중단 문제로 대형 전광판이 꺼진 거리를 걷고 있다. 크라우드 스트라이크 소프트웨어 업데이트 결함으로 전 세계 공항, 병원, 호텔 등에서 피해가 속출하는 IT 대란이 발생했다. 2024.07.20.

"공급망 보안 제도화하고 적극적인 투자 필요해"

우리 정부도 과학기술정보통신부, 국가정보원, 디지털플랫폼정부위원회 등을 중심으로 민·관 협력을 바탕으로 '소프트웨어 공급망 보안 가이드라인'을 마련했다.

이 가이드라인에 따르면, 소프트웨어를 제공받는 공공기관이나 일반기업들도 선제적인 예방조치를 취하는 것이 바람직하다. 가령, 정기적인으로 소프트웨어 공급업체 평가 및 모니터링이 이뤄져야 하며 백신프로그램도 실시간 업데이트해야 한다. 강력한 내부 보안 지침을 마련하고 만약 보안 사고 발생을 대비해 비상 대응계획도 수립해야 한다.

기존 소프트웨어 개발·배포시 품질안전 관리의 대안으로 '소프트웨어 자재 명세서(SBOM, Software Bill Of Materials)' 도입 방안도 활발히 논의되고 있다.

SBOM은 해당 소프트웨어가 어떤 요소로, 어떤 과정을 통해 만들어졌는지 또 타 소프트웨어와 융합은 어떤 형식으로 했는지 등을 모두 기록한 문서다. 운영체제, 구성요소, 라이선스 정보, 취약성 정보 등을 담는다. 마치 식품·음료수 포장지에 영양정보를 공개해 둔 것과도 같다.

소프트웨어의 모든 요소와 정보를 확인 할 수 있기 때문에 취약점을 미리 식별하고 모니터링할 수 있다. 또 보안 사고가 발생했을 때 어떤 부분에서 문제가 발생했는지 파악도 쉽다. 결과적으로 보안을 강화할 수 있게 되는 셈이다.

최윤성 고려대학교 교수는 "만약 사이버 공격이었다면 정말 충격적일 사건이었다"면서 "다만 우리가 매일 편하게 누리는 디지털 인프라의 신뢰성이 얼마나 중요한지 상기됐다고 생각한다"고 말했다.

이어 "디지털 인프라와 이를 움직이는 소프트웨어는 일반인의 상상 이상으로 복잡하게 구성돼 있으며, 또한 글로벌 공급망에 의해 운영되고 있다"면서 "이러한 복잡성 문제를 해소하고 신뢰를 높이자는 목적으로 미국, EU, 일본 등 주요 국가에서 추진되는 것이 S-BOM"이라고 설명했다.

최 교수는 "SBOM 공유로 형성되는 신뢰성은 향후 인공지능 AI-BOM이나 클라우드 SaaS-BOM의 분야로 확장될 수 있으며, 결국 이러한 신뢰 체계의 연결 고리로 작용해 재해 복원력의 기초가 될 것"이라며 "우리는 그간 디지털을 통한 손쉬운 상호 연결로서 얻은 기반을 이제 더욱 공고히 해야 하는 시점이며, 이러한 신뢰 체계는 우리 산업이 미래의 세계 시장을 선도하는 데도 중요한 경쟁력이 될 것"이라고 말했다.

◎공감언론 뉴시스 [email protected]