SW 패치, 점진적 배포 등 안전한 배포 전략 수립하고 SW 배포의 안정성 검증해야
단말 장애 복구 매뉴얼 마련 및 숙지 필요, 사전점검 및 사이버 레질리언스 중요

[보안뉴스 김경애 기자] 지난 7월 19일 크라우드스트라이크 사의 팔콘 센서 업데이트 과정에서 문제가 발생했다. 해당 보안 SW가 윈도우즈 시스템과 충돌하며 OS 장애를 일으킨 것. 검증 시스템 문제로 해당 SW 업데이트 파일이 각 단말 팔콘 센서에 로드되면서 메모리 오류가 발생해 윈도우즈 시스템과 충돌한 것이다. 이로 인해 전 세계 주요 사회기반시설 시스템이 다운되는 피해가 발생했다.


이번 크라우드스트라이크 사태로 인해 공급망 보안에 대한 중요성이 더욱 커지고 있다. 특히 사전 점검의 중요성과 점진적 SW 패치 적용, 금융당국의 감독 권한 등이 확보돼야 한다는 의견이 제기됐다.

이와 관련 금융보안원 주최로 ‘글로벌 사이버 정전 사태를 계기로 본 한국 금융보안의 현주소와 나아갈 방향’이란 주제로 토론회가 개최됐다.

금융보안원 김철웅 원장은 개회사에서 “이번 글로벌 사이버 정전 사태는 단일 SW의 결함이 전체 산업 생태계에 중대한 영향을 미칠 수 있음을 보여준 사례”라며 “금융 분야의 디지털 사고는 국민들의 금융 생활에 직접적으로 영향을 미칠 수 있어 금융 시스템에 대한 안전망을 마련해야 한다”고 말했다.

이어 김 원장은 “이번 크라우드스트라이크 사태는 기본 보안 조치와 내부 통제 문제의 심각성을 보여준 사례로, 이번 세미나를 통해 근본적인 대응방안을 모색하길 바란다”고 말했다.

금융보안원 임구락 사이버대응본부장은 “이번 스트라이크크라우드 사태에서 우리가 망분리 환경으로 인해 안전했던 건지, 그리고 우리가 사용하는 보안 SW는 안전한 건지 등 사태의 본질, 근본 원인을 고찰하고 금융권의 대응방안 모색이 필요하다”며 △SW 업데이트 전 사전 테스트, 검증 문제 △긴급 패치로 인한 실시간 업데이트 등 안전한 배포 문제 △문제 발생시 신속한 복구 △이번 사태와 유사한 SW 공급망 공격 발생 가능성에 대한 대응방안이 마련돼야 한다고 밝혔다.

SW 패치, 안전한 배포 전략 수립...점진적 배포
토스증권 지정호 CISO는 “SW 공급망 보안을 강화하기 위한 맹목적 규제보다는 문제의 원인인 안전한 IT 환경 관리에 대해 고민해야 한다”며 “보안 패치 적용에 있어 사전에 검증되지 않은 패치를 적용하면 문제가 발생한다. 각 기업 환경에 맞는 안전한 배포 전략을 수립해 운영해야 한다”고 밝혔다.

이어 지 CISO는 “업무와 비즈니스 영향을 고려해 배포 순서를 정하는 등 점진적으로 SW를 배포해야 한다”며 “이를테면 인터넷망 PC에 먼저 적용한 후 업무망 PC에 적용하거나 보안팀 PC에 먼저 적용한 후 이상이 없으면 고객센터 PC에 적용하는 등 업무중요도를 고려해 점진적으로 SW 배포를 해야 한다”고 설명했다. 또한 그는 백업, 이중화 시스템 구축 등으로 장애 유발에 대비하고, 무엇보다 실질적인 재해복구 훈련을 통해 재해복구 체계를 검증하는 게 중요하다고 덧붙였다.

SW 배포의 안정성 확보 위한 꼼꼼한 검증 필요
국민대학교 윤명근 교수는 “SW 배포의 안정성 확보 위해 철저한 검증이 선행돼야 한다”며 “기존에 오픈소스와 자사에서 개발한 SW만 체크하지 말고 완제품의 실행파일 업데이트에 대해서도 점검해야 한다”고 강조했다. 또한 “서드파티 제품에 대해서도 체크하고, 단계적으로 패치를 적용한 후 이상이 없을 시에만 패치 적용을 확산시켜야 한다”고 말했다.

단말 장애 복구 매뉴얼 마련 및 숙지 필요
엔키화이트햇 이성권 대표는 “이번 크라우드스트라이크 사태가 북한 해커에게는 공급망 공격을 악용해 대한민국을 마비시킬 수 있는 좋은 아이디어를 얻은 것 같아 더욱 위협적”이라며, “국내 유명 SW 회사가 똑같이 문제를 일으켰다면 국내도 엄청난 피해를 입었을 것”이라고 우려했다. 이어 “이러한 사태에 대비할 수 있는 매뉴얼을 갖추고 숙지해야 하며, 빠른 복구가 가능한지 점검해야 한다”고 당부했다.

특히 이번 사건은 단말 단에서 문제가 비롯됐다고 지목한 이 대표는 “단말 장애에 대한 복구 체계와 점검, 대응방안을 마련해야 한다”고 주문했다.

사전점검 및 사이버 레질리언스 중요
KB국민은행 이재용 CISO는 사전점검과 사이버 레질리언스의 중요성을 강조했다. 이재용 CISO는 “크라우드스트라이크 사태는 SW 공급망 솔루션 업데이트 과정에서 발생한 사고라 국내에서도 일어날 가능성이 높다”며 “국내 금융회사의 피해가 없었던 이유는 망분리 환경 때문이라기 보다는 망분리 환경으로 수립된 업데이트 프로세스가 영향을 미쳤다”고 밝혔다.

크라우드스트라이크 사태와 관련해 업데이트 프로세스 상의 절차가 문제라고 지적한 이재용 CISO는 “외부에서 파일을 반입하게 되면 위해성을 검증한 후, 내부 테스트 환경으로 가져온다”며 “이때 USB로 반입하고, 테스트 환경에서는 각 모델별로 문제가 없는지 검증한다”고 설명했다. 또한 업데이트 적용 시에도 영업점의 경우 IP를 3개 대역대로 나눠 순차적으로 적용하는 등 사전점검이 중요하다고 강조했다.

이어 이 CISO는 “국민은행의 경우 사이버 레질리언스 훈련을 통해 서비스 복구 절차가 적정했는지 점검하고 복구 소요시간를 체크하는 등 신속한 복구를 위해 노력하고 있다”며 “AI, 클라우드 담당자 등으로 TF를 구성해 정보보호 대응체계를 강화하고, 침해대응을 위해 블루팀, 레드팀을 상시 운영해 어느 단계까지 뚫리고, 몇 프로까지 차단하는지 실제 공격 기법과 대응력에 대해 체크하면서 적극 대응하고 있다”고 말했다. 또한 “금융권도 클라우드 전환이 가속화되고 있어 사스형 기반의 SW에 대해 잘 파악하고 제로트러스트에 기반한 보안 적용과 함께 사전점검을 철저히 해야 한다”고 덧붙였다.

CSP 리스크, 감독검사 권한 확보돼야
금융감독원 금융IT안전국 안태승 팀장은 “크라우드스트라이크 사태 예방과 대응방안 마련을 위해 SW 공급망 관리체계 정비가 필요하다”며 “앞으로 클라우드 기반이 더욱 확대될 것이기 때문에 실시간 무결성 문제를 어떻게 관리할 것인지 고민해야 한다”고 말했다.

이어 안 팀장은 “예상치 못한 장애 발생 시 정상 복구할 수 있는 실효성 있는 DR(재해복구) 전략을 수립해야 한다”며 “중장기적으로는 SW 의존도가 높아지고 있어 소비자 보호가 병행돼야 하고, CSP(Cloud Service Provider) 리스크에 대한 감독당국의 감독검사 권한이 확보돼야 한다”고 설명했다. 즉, 징벌적 과징금 규정 등을 명시한 법적 근거가 확보돼야 한다는 것이다.

한편 금융보안원은 이번 세미나에서 논의된 내용을 바탕으로 SW 공급망 보안체계 강화를 위해 금융당국과 함께 금융권 SW 공급망 보안 체크리스트를 마련하는 등 향후 유사한 사태가 발생하지 않도록 근본적인 대응방안을 모색하겠다고 밝혔다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>