Offcanvas

CSO / 랜섬웨어 / 보안 / 악성코드

강은성의 보안 아키텍트ㅣ기업 보안 vs. 제품 보안 (2)

2023.01.10 강은성  |  CIO KR
가정에서 사용하는 로봇 청소기가 해킹돼 원격에서 조종당하면 로봇 청소기가 가정의 프라이버시를 침해하는 공격 수단이 될 수 있다. 스마트 공장에서 사용하는 로봇이 해킹 당하면 공장에 상당한 피해를 줄 수 있고, 자율주행 자동차가 해킹 당하면 사람의 생명과 재산에 심각한 위협이 된다. 

제품이 보안 공격을 당하면 이용자의 구매 목적이 아니라 공격자의 목적에 따라 제품이 악용되어 오히려 이용자에게 큰 피해를 입힐 수 있다. 지난 칼럼에서 설명한 대로 제품 보안의 목표는 개발사가 자신의 통제 범위를 벗어나 이용자의 통제 권한 범위 내에 있는 제품이 공격자의 통제에 들어가지 못하도록 보호하는 것이다.

→ 강은성의 보안 아키텍트ㅣ기업 보안 vs. 제품 보안 (1)

제품 보안을 위해서는 개발 단계에서 모든 보안 취약점을 없애는 것이 바람직하지만 그렇지 못한 경우도 꽤 있다. 아예 발견하지 못하기도 하고, 위험 평가 결과가 ‘Low’로 나와서 (시간과 비용의 문제로) 완화 방안을 구현하지 않기도 한다. 제품 출시 이후에 공격자가 이러한 취약점을 발견하여 공격 경로로 악용할 수 있다. 

출시 시점에는 보안 취약점이 없었으나 IT의 발전, 새로운 공격 기술의 출현으로 보안 취약점이 나타날 수도 있다. 대표적인 것이 암호 관련 알고리즘이다. MD5, DES, RSA 알고리즘이 출시 당시에는 안전하다고 보았으나 이후 보안 취약점이 발견되거나 컴퓨팅 능력의 향상으로 공격당하기도 한다. 

이에 대응하기 위해 제품 보안에서는 개발 단계에서의 보안(Secure Development Lifecycle)을 넘어서 ‘제품의 전체 생명주기에서 보안(Secure Product Lifecycle, SPL)’이 이뤄져야 한다. SPL에서는 출시된 제품에서 보안 취약점이 발견됐을 때 대응하는 ‘제품 보안 대응 체계’가 중요하다. 

글로벌 제품 개발사가 운영하는 제품 보안 사고대응팀(Product Security Incident Response Team, PSIRT)이 이 체계의 핵심이다. 기업 보안의 컴퓨터 보안 사고 대응팀(Computer Security Incident Response Team, CSIRT) 또는 CERT(Computer Emergency Response Team)에 해당하는 팀이다. 인텔, IBM, 시스코, 어도비, 화웨이 등 세계적인 IT 제품 기업에서는 PSIRT를 운영한다.
 
그림 1. 인텔 PSIRT의 보안 취약점 처리 단계 (출처: 인텔 홈페이지)

제품 보안 대응 프로세스는 제품의 보안 취약점을 신고받았을 때 기술적·관리적·영업적·법적 대응을 수행하는 프로세스다. PSIRT가 보안 취약점 접수와 취약점 확인 등 주도적 역할을 담당하지만, 보안 패치, 영업적·법적 대응을 위해서는 전사적인 협업이 필요하기 마련이다. 보안 동네에서 많이 회자되는 ‘버그 바운티’는 제품 보안 대응 프로세스의 일부다.

국내에서는 2016년에 LG전자에서 PSRT(Product Security Response Team)를 만들고, 대응 프로세스를 공개했다. LG전자는 전사적인 협업 문화와 IT 인프라가 잘 되어 있어서 PSRT 프로세스와 인프라를 구축하는 데 별 어려움이 없었고, 지금도 잘 운영되고 있다.

한국인터넷진흥원의 ‘보안 취약점 신고 포상제 공동운영사’로 참여한 것이 초기 PSRT를 운영하는 데 상당한 도움이 되었다. 아마 국내 굴지의 플랫폼 기업이나 글로벌 제품을 갖고 있는 기업들도 PSIRT 체계를 갖추고 있으리라 예상되지만 기업 밖으로 잘 드러나지는 않는 것 같다.
 
PSIRT 체계에서 무엇보다도 중요한 것은 인지한 보안 취약점에 대해 신속하게 보안 패치를 하는 것이다. 개발 프로세스가 잘 되어 있는 회사에서는 보안 취약점이 정확하게 확인되면 대체적인 개발 일정과 패치 일정이 수립된다. 따라서 상호 인증과 암호화, 무결성 검증, 다운그레이드 방지 등 안전하고 안정적인 온라인 업데이트 체계를 갖추는 것이 보안 패치의 관건이 된다. 하드웨어 이슈가 포함되면 고객서비스 센터와의 연계도 필요할 수 있다.

제품 보안과 직결된 공급망 보안이 세계적으로 중대한 문제로 떠오르면서 2020년 정도부터는 CPSO(Chief Product Security Officer)가 필요하다는 의견이 나오기 시작했다. 제품 개발과 출시, 출시 이후 제품의 유지 관리 등 제품의 전체 라이프사이클에서 제품 보안을 일관되게 유지하고 업그레이드하려면 그에 걸맞은 역량과 경험, 권한을 가진 고위 임원이 필요하다는 데 대해서는 상당한 공감대가 있다. 
 
그림 2. 현대자동차 차량보안 신입사원 채용 공고(왼쪽)와 LG전자 스마트TV 보안 분야 채용 전환형 인턴사원 채용 공고 (출처: 각 사 채용 관련 페이지)

기업에서 새로운 분야를 시작할 때 언제나 인력 확보가 문제가 된다. 인력을 확보하는 방법으로는, 우수한 경력자 채용, 전문기업 인수, 관련 직무 인력의 교육을 통한 직무 전환, 적절한 요건을 갖춘 신입사원 채용과 실무 경험 및 교육을 통한 전문 인력 양성 등이 있다. 

그림 2는 현대자동차와 LG전자의 신입사원 채용 공고인데, 제품 보안 거버넌스, 글로벌 보안 대응 체계 수립(이상 현대자동차), 제품 보안과 프라이버시 규제, 제품 보안 인증, 보안 설계 등 제품 보안 분야를 지정하여 채용한다는 면에서 상당히 의미가 있다. 

제품 보안은 플랫폼, 모바일 앱, 게임 등 날로 커가는 소프트웨어 제품과 서비스에 필수적일 뿐 아니라 대다수 임베디드 시스템이 네트워크에 연결되는 4차 산업혁명, 디지털 변혁의 시대에 제조업이 갖춰야 할 핵심 경쟁력이다. 앞으로 많은 기업에서 제품 보안 분야에 대한 채용 공고가 나오고, 사이버보안전공 학생들이 제품 보안 분야로 많이 진출하면 좋겠다. 소프트웨어 강국, 제조업 강국 대한민국의 미래가 여기에 달려 있다.


* 강은성 교수는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가다. 현재는 이화여자대학교 사이버보안학과 산학협력중점교수로 있다. 저서로 「IT시큐리티」(한울, 2009)와 「팀장부터 CEO까지 알아야 할 기업 정보보안 가이드」(한빛미디어, 2022) 등이 있다. ciokr@idg.co.kr
 
추천 테크라이브러리

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2023 International Data Group. All rights reserved.