2016년 10월 21일 아마존, 넷플릭스, 트위터 등 많은 이용자들이 있는 대형 서비스를 미국의 많은 지역에서 접속하지 못하는 사태가 벌어졌다.
이들 지역에 DNS를 제공하는 업체 Dyn이 대규모 분산 서비스거부 공격(DDoS) 공격을 받아 도메인이름 서비스(DNS)가 중단됐기 때문이었다. IP 카메라, 홈라우터 등 수십 만대의 사물인터넷(IoT) 기기를 감염시킨 미라이(Mirai) 봇넷이 이들을 동원하여 Dyn에 DDoS 공격을 한 것이다. 이 사건은 미국을 비롯한 세계 각국에서 법률 제정과 정부 정책을 통해 IoT 기기에 대한 보안 규제를 본격적으로 추진하는 계기가 됐다.
2020년 1월부터 미국 캘리포니아주에서 시행된 ‘사물인터넷 보안법’(Security of connected devices)은 캘리포니아주에서 판매되거나 판매를 위해 제공되는 ‘정보통신망 연결 기기’를 제조하거나 대신 제조하기로 계약한 제조업체에 적용되는데, 이 기기들은 다음과 같은 합리적인 보안 기능을 갖춰야 한다.
• 해당 기기의 본질과 기능에 적합
• 기기에 수집·보관·전송되는 정보에 적합
• 기기 및 기기에 보관된 모든 정보가 무단 접근, 파괴, 사용, 변경, 공개되지 않도록 보호할 수 있게 설계
• LAN 외부에 인증수단이 있는 경우에는 다음 중 하나를 충족
(1) 생산 시 사전 설정되는 패스워드는 기기마다 고유해야 함
(2) 이용자가 기기를 처음 접근권한을 허용 받기 전에 새 인증수단을 요구하는 보안 기능을 갖춤
로봇청소기를 예로 들면 로봇청소기의 본질에는 자율 이동과 청소가 포함되고, 자율 이동을 위해서는 비디오카메라로 주위 공간을 찍어서 데이터를 클라우드로 전송하여 분석한 뒤 이를 기반으로 이동하는 기능이 필요하다.
따라서 로봇청소기는 사용자 인증, 기기 인증, 전송 및 저장 시 데이터 암호화 등 기기의 본질과 기능에 적합한 보안 기능을 갖춰야 한다. 또한 청소기가 수집, 전송하는 데이터는 프라이버시일 가능성이 있으므로, 보안 수준 또한 그에 알맞아야 한다.
캘리포니아주에서 인터넷 공유기, IP 카메라, 로봇청소기 등 IoT 기기를 팔려면 이러한 보안 요건을 갖춰야 한다. 따라서 제품 개발사가 소프트웨어나 하드웨어 부품을 구매할 때 이러한 기능을 제공하는 업체를 선택해야 할 수도 있다. 최종 제품에 대한 보안 규제가 공급망 보안과 연결되는 고리의 하나다.
지난 7월 19일~20일 이틀 동안 우리나라를 비롯해 미국, 영국, 독일, 호주, 브라질 등 18개국이 참여한 ‘공급망 장관회의’가 온라인으로 열렸다. 이 회의에서는 단기적인 공급망 혼란에 대한 대응 방안과 함께 장기적인 대책도 논의했는데, 투명성, 다양성, 보안성, 지속 가능성을 장기적인 공급망 회복력 구축을 위한 원칙으로 합의했다. 공급망 보안이 단지 보안 분야에서 이뤄지는 것이 아니라 안정적인 공급망 확보라는 세계 각국의 관심사에서 비롯된 것임을 알 수 있다.
이보다 앞서 2021년 5월 미국 바이든 대통령은 ‘국가 사이버 보안 개선에 관한 행정명령’(EO-14028) ‘소프트웨어 공급망 보안 강화’(섹션 4)에 관한 24개나 되는 조항을 통해 미국 정부가 해야 할 일을 시한까지 정의해 가며 꼼꼼하게 규정하였다. 공급망 보안에 대한 미국 정부의 직접적이고 본격적인 규제가 시작된 것이다.
기본적으로 ‘공급망(Supply chain)’은 자동차산업과 같은 제조업에서 중요하게 여겨 왔던 사안이어서, 공급망 보안 역시 ‘제품 보안’(Product security)을 중점적으로 다루고 있다는 점에 유의할 필요가 있다. 우리나라는 보안 인력과 보안솔루션이 주로 ‘기업 보안’에 집중되어 있어서 제품 보안에 대한 인식과 인력, 프로세스, 솔루션이 부족하다. 기업 보안과 제품 보안은 갖춰야 할 기술 역량이 많이 달라서 기업 보안 인력이 제품 보안을 담당하기는 매우 어려우므로, 인력 확보를 위해 제품 보안 인력의 양성, 개발 인력에 제품 보안 기술과 프로세스 교육, 관련 기업의 인수 등 다각적인 노력이 필요하다.
소프트웨어 보안 영역에서 제품 보안을 일부 다루긴 하나, 여전히 모의해킹이나 보안 코딩에 머물러 있고, IoT 기기처럼 하드웨어를 포함한 제품 보안을 포괄하지 못하는 데다 개발 단계별 보안 활동이 제품 개발 프로세스에 잘 녹아들지 못한 게 현실이다. 게다가 공급망 보안은 제품의 개발뿐 아니라 유통, 사용, 고객지원, 파기 단계까지 제품의 안전성을 보장하는 것으로 확장되는 추세여서 향후 제품의 전체 수명주기에서 제품의 안전성(Secure Product Lifecycle)을 확보할 수 있어야 한다.
며칠 전 LG전자에서 ‘협력업체 상생을 위한 사이버 보안 워크샵 2022 - Supply Chain Security’라는 긴 제목의 행사가 열렸다. 필자 외에도 과기정통부 국장과 KISA 단장이 키노트 발표자로 참여할 정도로 ‘공급망 보안’에 관해 의미 있는 행사였다.
글로벌 공급망 보안의 두 축인 IoT 기기와 자동차 부품 사업을 주 사업으로 하는 LG전자로서는 협력업체에 글로벌 보안 규제 흐름을 알리고, LG전자의 대응 로드맵과 지원 방안을 제시함으로써 협력업체의 참여를 이끌어내는 것이 필요했다면, 제로트러스트와 공급망 보안을 주요 정책으로 추진하고 있는 과기정통부로서는 민간 대기업의 자발적인 상생적 공급망 보안 노력이 정책을 구현하고 확산시키는 데 의미가 있었을 것 같다.
규제는 먼저 대응하면 마케팅 도구가 되지만, 늦게 대응하면 의무가 되는 속성이 있다. 글로벌 보안 규제에 따라 공급망 보안이 어차피 가야할 길이라면, 정부와 대기업, 협력업체가 협업하여 자발적, 선제적으로 대응함으로써 글로벌 경쟁력을 갖추는 계기로 삼는 것이 바람직한 해법이 되지 않을까 싶다.
* 강은성 교수는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가다. 현재는 이화여자대학교 사이버보안학과 산학협력중점교수로 있다. 저서로 「IT시큐리티」(한울, 2009)와 「팀장부터 CEO까지 알아야 할 기업 정보보안 가이드」(한빛미디어, 2022) 등이 있다. ciokr@idg.co.kr