소프트웨어 개발사가 취약점에 대한 책임을 지게 하는 건 꽤나 좋은 생각이다. 보안 업계가 환영할 만하다. 하지만 법으로 뭔가를 강제하는 게 능사는 아니다. 차라리 ‘이것’을 요구하는 게 여러 모로 좋아보인다.

[보안뉴스 문정후 기자] 소프트웨어 시장에서 보안을 강화한다는 것의 중요성은 누구나 인정하고 받아들인다. 그런데 보안을 지나치게 강화하다보면 분위기가 경직되어 생산성이 떨어진다든지 혁신이 좀처럼 이뤄지지 않는다든지 하는 등의 부작용이 생긴다. 그러니 보안성과 기능성 사이의 그 오묘한 균형점을 찾아내는 게 중요하다. 보안에 대한 책임을 누군가 혹은 어느 조직인가 지게 하되, 지나치게 그 책임을 한 곳에 집중시키는 것도 바람직하지 않다. 이 역시 균형이 필요한 부분이다.


최근 미국 정부는 보안 사고에 대한 책임을 소프트웨어 개발사들도 물게 하겠다는 방침을 발표했다. 보안 업계는 환호했다. 당연하다. 그 동안 ‘내가 만들지도 않은 소프트웨어의 취약점 때문에 생기는 일을 왜 내가 책임져야 하는가?’라는 찜찜함이 보안 담당자들 안에 있었기 때문이다. 하지만 이 지점에서 주의해야 한다. 소프트웨어 개발사들을 너무 조이면 안 되기 때문이다. 균형의 묘를 살리지 못했을 때, 어쩌면 소프트웨어 개발사들이 일제히 제품 가격을 올릴 수도 있고, 소프트웨어 품질 발전의 속도가 더뎌질 수도 있으며, 오히려 총체적인 보안 약화가 야기될 수도 있다. 지나친 책임을 감당하지 못하고 망하는 회사가 속속 나타날 수도 있다.

법적 책임보다 우선시 해야 할 것은 투명성
소프트웨어 시장에 보다 긍정적인 영향을 주려면 법적 책임보다 투명성을 확산시켜야 한다. 거기에 더해 정보를 바탕으로 한 의사 결정 문화를 촉진시키는 것도 좋은 방법이다. 소프트웨어 개발사들이 투명성을 충분히 갖춘다면 어떤 일이 일어날까? 자신들이 어떤 식으로 보안을 실천하는지 있는 그대로 드러내게 된다. 그리고 소비자들은 이러한 정보를 바탕으로 보다 안전한 의사 결정을 할 수 있게 된다. 대부분 보안성이 충분히 보장될 것 같은 소프트웨어에 투자하고 싶지, 불안한 것에 돈을 쓰고 싶어하지는 않을 것이다. 그러면서 보안은 경쟁력의 일부 요소가 되고, 소프트웨어 개발사들은 변할 수밖에 없게 된다.

소프트웨어의 보안성이 어떠한지 투명하게 공개하도록 만드는 것만으로 정부는 지나친 법적 책임을 강요하지 않고도 시장의 원리에 의해 소프트웨어 개발사들이 알아서 안전한 제품을 만들도록 유도할 수 있다. 사실 ‘소프트웨어 취약점에 대한 책임을 소프트웨어 개발사들에게 묻는다’는 것은 실제로 시행하기가 여간 복잡하고 어려운 개념이 아닐 수 없다. 소프트웨어의 수는 이미 세기가 힘든 수준에 이르렀으며, 그런 소프트웨어의 분류 체계 역시 복잡하기 이를 데 없다. 각 개발사의 상황과 능력도 제각각이다. 천편일률적인 ‘사고 발생 시 책임’이라는 접근법은 사실 이미 너무 늦었는지도 모른다.

시장이 결정할 수 있도록
투명성을 강조함으로써 소프트웨어 개발사들이 변하지 않으면 안 되게끔 하는, 이 덜 침습적인 접근법은 사실 시장의 정화 작용이란 것에 많이 기대고 있는 방법이라고 말할 수 있다. 좋은 제품은 시장의 원리에 의해 살아남고, 그렇지 않은 제품은 시장의 원리에 의해 죽게 한다는 것이다. 소비자들이 충분한 정보를 바탕으로 결정을 하도록 하기만 하면 된다. 같은 값이면 다홍치마라고, 소비자들은 비슷한 소프트웨어 두 개가 있을 때 보안성이 더 높은 것을 고를 확률이 높다. 다른 각도에서 보자면, 소프트웨어 보안성을 강화하는 것에 대한 대가를 회사가 돌려받는 구조를 만든다는 것이기도 하다. 여태까지는 보안이라는 게 아무런 대가도 없이 투자해야 하는 ‘돈 먹는 하마’같은 존재였으니까.

보안에 투자하게 하려면 동기도 부여되어야 한다. 보안에 돈을 썼더니 이 만큼 수익이 늘었다는 증언들이 시장 곳곳에서 나와야 한다. 보안을 강화했더니 판매량이 늘었다, 회사의 상황이 좋아졌다, 이런 말들이 나오게 하려면 소비자들이 투명하게 공개된 정보를 바탕으로 자유롭게 돈 쓸 곳을 선택하게만 하면 된다. 물론 우리 모두가 바라는 수준의 ‘보안성’을 시장이 요구하지 않을 수도 있다. 그것은 일반인들의 보안 인식 수준에 기인하는 것이므로, 보안 업계는 꾸준한 교육과 홍보 활동으로 보안의 중요성을 알려야 한다. 의사봉을 망치처럼 휘두르면 안 된다.

투명성이 얼마나 많은 변화를 일으키는지 우리는 이미 경험한 바 있다. 지난 수년 동안 우리는 소프트웨어 취약점을 줄이거나 익스플로잇 공격을 예방하기 위한 온갖 법안이 마련되었다가 사라지고, 혹 일부는 통과되는 과정을 지켜봐왔다. 여러 산업에서 필수 조치 사항을 만들어 강제시키는 것도 여러 번 경험했다. OWASP이 계속해서 취약점 탑 텐(Top Ten) 목록을 발표하기도 했다. 하지만 솔직히 지금 우리가 사는 세상이 이런 모든 것이 진행되기 전 세상보다 나아졌는가? 소프트웨어들은 여전히 취약하고, 개발사들은 굳이 더 발전시킬 생각을 하지 않는다.

하지만 얼마 전부터 소프트웨어 물자표(SBOM) 제도에 대한 이야기가 나오기 시작하자, 개발사들이 움직이기 시작했다. 시장 전체가 오픈소스의 활용에 있어 보다 조심하고, 몸을 사리고 있다. 물론 시장 전체가 훨씬 나아졌다거나 그런 건 아니지만, 투명성을 강조하면 시장이 움찔거린다는 것이 증명되었다는 사실은 분명하다.

이제 소프트웨어 없이 하루도 살 수 없게 되었다. 그런데 그 중요한 소프트웨어를 만드는 회사들은 굳이 소프트웨어를 안전하게 만들 필요가 없는 환경에서 제품을 출시하고 있다. 보안 강화를 위한 동기부여가 필요하다. 그것을 미국 정부는 법적 책임 강화라는 초강수를 가지고 해결하려 하고 있다. 필자는 그 접근법이 큰 성공을 거두기 힘들다고 보며, 오히려 보다 덜 무섭고 정부의 개입을 최소화 하는 방법이 낫다고 생각한다. 즉 투명성 하나만 강조하면 나머지 문제는 알아서 해결될 공산이 높다는 걸 지적하고 싶은 것이다.

기업을 진실되게 움직이게 하는 건 법이 아니다. 소비자다.

글 : 제프 윌리엄즈(Jeff Williams), CTO, Contrast Security
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>