소프트웨어 개발사들이 처음부터 안전한 소프트웨어를 만들면 보안 사고는 크게 줄어들 거라고 미국 정부 요원들은 입을 모아 말하기 시작했다. 그리고 CISA의 국장은 이를 더 크게 외치고 있다. 이번에는 개발사들을 두고 빌런이라고 말하기까지 했다.

[보안뉴스 문가용 기자] 실제 사이버 범죄 사건을 최전선에서 수사하는 사람들의 경우, 진짜 문제는 무엇이라고 판단하고 있을까? 미국의 사이버 보안 전담 기관인 CISA를 지휘하는 젠 이스털리(Jen Easterly)는 “버그가 가득하고 안전하지 않은 코드로 점철된 소프트웨어를 만들어 출시하는 사람들이 진짜 사이버 빌런”이라고 말한다. 현재 보안 업체 맨디언트(Mandiant)가 진행하고 있는 보안 컨퍼런스인 엠와이즈(mWise)에서 기조 연설자로 나와 한 말이기도 하다.


그 자리에서 이스털리는 ‘소프트웨어 취약점’이라는 표현조차도 지나치게 너그럽다고 지적했다. “제품 결함이라고 불려야 마땅하며, 그게 사실이다”라고 그녀는 강력하게 제안했다. 왜? “소프트웨어 취약점이라는 말 자체에 소프트웨어 개발자의 책임이 강조되지 않기 때문”이다. 개발사의 책임이 흐려지니 패치를 빠르게 적용하지 않는 사용자들에게 책임이 전가되고 있는 현실도 잘못된 것이라고 이스털리는 짚었다.

세 번째(첫 번째는 개발사, 두 번째는 취약점이라는 표현)로 이스털리가 문제를 삼은 건 보안 업계가 해커들에게 붙이는 이름이다. 지나치게 낭만적이고 화려하다는 것이다. “‘앙상한 골칫거리(Scrawny Nuisance)’라든가 ‘악마 같은 흰담비(Evil Ferret)’과 같은 이름이 왜 필요한지 모르겠어요. 아무 것도 공격자들에 대해 알려주는 게 없는 이름이지요. 오히려 환상과 궁금증만 일으키죠. 할리우드가 해커들을 너무 아름답게 그려내고 있다고 하는데, 사실 우리도 마찬가지입니다.”

이스털리가 이런 입장을 견지해 온 건 새삼스로운 일이 아니다. 취임 때부터 소프트웨어 개발사가 사이버 범죄를 줄이는 일에 더 많이 이바지해야 한다는 게 그녀의 주장이었다. 지난 3월 CISA 웹사이트에 올라온 키노트 원고를 통해서도 그녀는 소프트웨어 개발사의 역할을 강조했었다. 당시 올라온 내용 중 소프트웨어 개발사에 대한 것만 발췌 및 정리하면 다음과 같다.

“다중인증 시스템 구축, 패키지 서명 체제 도입, 소프트웨어 물자표(SBOM) 자동화 등 오픈소스 소프트웨어 생태계를 안전하게 보호하고자 하는 여러분들의 노력에 진심으로 감사를 표하고 싶습니다. 하지만 모든 소프트웨어 개발사들에게 드리고 싶은 당부가 있기도 합니다. 대부분 ‘설계 단계에서부터의 보안’이라는 개념을 잘 아실 겁니다. 소프트웨어 제품을 처음 만들 때부터 보안성이 담보되어야 한다는 의미를 가지고 있지요. 즉, 소프트웨어 개발사가 좀 더 주인정신을 발휘해 책임감을 가지고 사용자들을 보호해야 한다는 뜻입니다.

소프트웨어 개발사들은 좀 더 많은 가치를 투자해야 할 겁니다. 특히 오픈소스 소프트웨어들로부터 얻는 게 가장 많다고 할 수 있을 만큼, 오픈소스 생태계를 더 안전히 보호하는 데 좀 더 기여해야 합니다. 그 기여라는 것은 여러 가지 형태가 될 수 있겠습니다만, 기업의 이윤을 위해 보안의 허술함을 간과하거나 보아 넘겨도 된다는 관행부터 바꿔야 합니다. 어떤 오픈소스에서 이상한 점을 보았다면, 그것이 기업의 직접적인 이윤으로 이어지지 않더라도 고치거나 리포팅을 할 수 있어야 합니다. 우리가 소프트웨어 개발사들로부터 바라는 건 이런 적극적인 참여입니다.”

개발과 출시에서만 소프트웨어 개발사의 역할이 끝나지 않아야 한다는 게 그녀의 일관된 주장이라고 할 수 있다. 더 나아가 사후 패치를 부지런히 하는 것도 충분하다고 할 수 없다고 그녀는 보고 있다. 소프트웨어로 구성된 생태계 전반을 감독하고 보호하는 것 역시 소프트웨어 개발사가 가져가야 할 영역이라는 것이다. 다만 모든 책임을 소프트웨어 개발사들이 다 질 수는 없고, 정부가 이 짐을 나눠서 져야 한다는 게 이스털리의 입장이다.

엠와이즈 기조 연설에서 이스털리는 “자동차와 비행기를 만들어 판매하는 회사들이, 판매 후 모든 책임을 사용자에게 묻는다면 누가 자동차와 비행기를 구매하겠나”라고 물으며 “그런데 유독 소프트웨어 제품들은 그런 식으로 유통되는 것이 허용된다”고 지적했다. 그리고 이것을 ‘테크노예외론(techno-exceptionalism)’이라고 지칭하기도 했다. “그러므로 우리가 가진 건 보안 문제가 아닙니다. 소프트웨어 품질 문제입니다. 시장에 보안 제품이 더 나와야 할 게 아니라, 더 안전한 제품이 나와야 한다는 겁니다.”

이스털리는 지난 RSA 컨퍼런스에서도 참가해 시큐어 코딩의 중요성을 강조한 바 있다. “시큐어코딩만이 랜섬웨어와 같은 사이버 보안 사건을 예외적인 일로 만들 수 있는 방법”이라고 주장했던 것이다. 당시 IT 업계의 굵직한 플레이어들인 AWS, 마이크로소프트, 구글 등은 이스털리의 CISA가 이끄는 “안전한 소프트웨어 개발하기 운동”에 참여해 서명하기도 했다. “당시 이 운동에 참여하기로 했던 기업은 70여개였습니다. 지금은 200곳이 다 되어 갑니다.”

그러면서 이스털리는 구글을 예로 들었다. “구글은 그 동안 소프트웨어 개발 행위에 있어 디폴트 언어나 다름이 없었던 C와 C++를 점진적으로 대체하기로 결정했습니다. 보다 보안성이 강화된 새 언어 러스트(Rust)로 바꿔가는 중입니다. 러스트가 완전하다고 할 수 없고, C언어가 악의 근원인 것은 아닙니다만, 더 안전한 길을 택하기 위해 익숙한 것을 버리는 결단이 지금 소프트웨어 개발사들로부터 요구됩니다.”

3줄 요약
1. 더 안전한 소프트웨어들이 시장에 나오는 게 보안에 있어 더 중요.
2. CISA의 국장은 예나 지금이나 소프트웨어 개발사 책임론을 주장.
3. 설계 단계에서부터 안전한 소프트웨어를 개발하면 보안 사고 줄어들 것이라는 의견.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>