• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

스마트사회 보안위협, 다름 아닌 소프트웨어가 ‘주범’ 2014.08.27

융복합 기술 기반, SW가 중심...그러나 보안위협은 갈수록 커져
SW 보안, 소스코드·자동화 도구·SW공급망 보증·위협관리 요구  


[보안뉴스 김경애] 스마트사회에서 소프트웨어(SW)는 매우 중요하다. SW는 모든 융복합 기술의 공통기반 기술로 자동차, 의료기기, 항공 분야 등에 사용되며, 융합 산업의 SW분야 개발원가에 30~50%를 차지하는 등 그 비중이 지속적으로 증가하는 추세다.

 ▲ 스마트사회=SW 발달+보안 강화  


이는 전 세계 시장규모 전망에서 핸드폰이 1200억불, 반도체가 2496억불이라면 SW는 9152억불 규모로 반도체의 3.6배, 핸드폰의 7.7배에 달한다.


산업별 고용능력에서도 SW가 6.2명으로 가장 높은 것으로 나타났으며, 통신은 2.5명, 제조업은 0.6명으로 집계됐다.

선진국의 경우 자국의 강점을 살려 SW산업을 전략적으로 육성하고 있으며, 미국은 SW의 신뢰성 확보 및 산업 경쟁력 제고를 최우선 과제로 삼고 있다. 우리나라도 박근혜 정부의 핵심 국정과제 중 하나인 ‘소프트웨어 중심 사회 실현’을 위해 인력 양성의 중요성을 인식하고 SW교육을 의무화하기로 했다. 이에 따라 ‘소프트웨어 중심사회 실현 전략’ 보고대회 후속조치로 SW 교육 시범학교 72곳이 선정됐으며, 본격적인 SW 교육이 이뤄질 예정이다.

 

이러한 추세에도 불구하고, 스마트 사회에서의 보안위협은 갈수록 커지고 있다. 이를테면 SW 버그(Bug)의 경우, 정상적으로 작동하는 중간에 발생하며, SW품질, 안전성, 기능성 등을 저하시킨다. 이러한 취약점은 공격자가 악용할 수 있는 버그로 사이버 공격에 이용되기도 한다. 특히 오픈소스로 만들어진 SW의 경우는 보안성이 검증되지 않아 안정성에 대한 우려가 더욱 크다.


지난 2003년 2월, 미국의 부시 전 대통령은  SW개발자들이 개발초기부터 SW의 품질과 보안을 전체적으로 향상시킬 수 있도록 고안해야 한다고 밝힌 바 있다. 이는 기존 운영단계에서 취약점이 발견된 후에 패치를 적용하는 방식에서 벗어나야 한다는 얘기다.


이와 관련 고려대학교 한근희 교수는 미국 국방성 프로젝트(Soft Ware Assurance, 이하 SWA)를 예로 들며, 보안에 있어 △소스코드 △자동화 도구 △Process & Procedure △공급망 사슬 위험관리 △SW공급망 보증·위협 관리 등을 통해 SW의 안전성, 신뢰성, 정확성이 담보돼야 한다고 제시했다.


SWA 첫 단계인 소스코딩의 경우, 안행부가 발간한 자바 시큐어코딩·C시큐어코딩 가이드에서 제시한 코딩을 규칙대로 한다면 버그를 줄일 수 있다는 것. 그래도 남아 있는 버그는, 자동화 도구(정적분석)를 통해서 사전에 취약성을 찾아 제거하면 보안위협을 줄일 수 있다는 게 한 교수의 설명이다.


또한, Process & Procedure는 교육, 요구분석, 디자인, 구현, 검증, 공급, 운영 및 유지보수 등 총 7단계 프로세스에서 보안위협을 제거해야 한다는 것을 의미한다. 이와 관련 한 교수는 “안전한 SW 개발을 위해서는 시큐어코딩 교육이 이뤄져야 하고, 어떤 목적으로 SW가 개발되는지 요구분석을 통해 위험요소를 제거해야 한다”며 “디자인은 설계단계로 요구사항대로 제대로 설계됐는지, 구현단계에서는 제대로 구현이 되는지, 검증단계를 통해 안정성이 확보돼야 하며, 공급단계와 운영 및 유지단계에서도 보안위협이 존재하는지 등 각 단계별로 보안위협을 제거해야 한다”고 설명했다.


 ▲ 고려대학교 한근희 교수

다음으로 공급망 사슬 위험관리(Supply Chain Risk Management)는 복잡하고 역동적인 수요·공급 네트워크에서의 리스크를 관리하는 것이 목적이다. 특히, 보안위협 요소를 찾아내는 것이 중요하다.


이에 대해 한 교수는 “델 컴퓨터에서 노트북·PC 한 대가 완성되기까지는 400개 이상의 부품회사, 비디오카드, 하드디스크 등의 단위업체, 공급업체 등을 거친다”며 “완제품이 출시됐을 때는 국방부, 육군 등과 같이 다시 단위별로 세분화된 여러 공급망 단계를 거친다. 이는 언제 어떤 단계에서 보안위협이 발생할지 모르기 때문에 각 공급망 단위별로 좀더 세밀하게 보안위협 관리를 해야 한다는 것을 의미한다”고 강조했다. 

마지막으로 자체 개발보다는 제3자 코드, 공개 코드 등을 더 많이 활용하고 있다고 지목한 한 교수는 “오픈소스 비율의 증가로 보안위협은 갈수록 더욱 커지고 있다”며 “특히 클라우드 제공 서비스 시에는 보안위협이 더욱 심각해진다”고 지적했다. 그러면서 그는 SW 구매·획득 시 안전성에 대한 보증이 필요하다며 SW보증의 중요성을 강조했다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>