중국, 러시아 등 반서방진영을 중심으로 한 변종 해킹 공격이 기하급수적으로 늘어나는 가운데 국내 소프트웨어(SW) 공급망 보안을 강화해야 한다는 지적이 높다. 하지만 정책과 기술 등 해결해야할 문제가 산적한 상황이다.
1일 국가정보원에 따르면 지난해 국내 공공분야에서 탐지된 국제 해킹조직의 공격 시도는 전년 대비 36% 증가해 하루 평균 약 162만 건에 달하는 것으로 집계됐다. 반서방진영의 대표 격인 중국의 해킹 공격도 중요성을 감안하면 21%로 증가하는 추세인 것으로 조사됐다.
중국, 러시아가 속한 브릭스(BRICS)가 주요 7개국(G7)의 대항마로 떠오르면서 서방 진영을 겨냥한 해킹 공격은 수단과 방법을 가리지 않고 국가 핵심 인프라에 침투 중인 실정이다. 당장 이들 국가가 한국을 정조준하고 있지는 않지만 국가 이해관계에 따라 언제든지 국내를 표적으로 삼을 가능성도 배제하기 어렵다.
이 때문에 국내 SW 공급망 보안을 하루라도 빨리 강화해야 한다는 목소리가 높다. 당장 시급한 건 '소프트웨어 구성명세서'(S-BOM) 제도 안착이다. S-BOM은 SW의 구성요소를 설명해놓은 안내서다. 오픈소스를 비롯해 보안 작동 방식을 포괄한 내용이 담겨 있어 취약점이 발생했을 때 원인 및 복구 방안 수립에 용이하다.
이미 미국과 유럽연합(EU)은 각각 2021년과 2022년에 S-BOM 제출을 의무화하며 보안 강화벽을 세웠다. 반면 국내의 경우 아직 걸음마 상태에 불과하다. 과학기술정보통신부는 지난해 S-BOM 제출 의무화 등을 천명했지만 현재 정책 가이드라인도 수립되지 못 한 상황이다. 당초 가이드라인은 지난 3월 중 발표 예정이었지만 현재 기약 없이 순연된 상황이다.
관련기사
- 사람인-NHN 아카데미, 우수 SW 인재 채용 돕는다2024.04.01
- SW융합협의회-남서울대, IT 인재양성·지역발전 힘쓴다2024.03.28
- 피씨엔, '대한민국 SW 마켓 페어' 참가2024.03.23
- 엘리스그룹, 교사·강사 AI·SW 교육 전문성 검증 자격증 출시2024.03.21
특히 보안 취약점이 발견된 후 바로 해킹이 일어나는 일명 제로데이 공격이 늘어나면서 S-BOM은 더욱 중요해졌다. ITRC(Identity Theft Resource Center)에 따르면 지난해 보고된 제로데이에 의한 데이터 유출 건수는 3천205건으로 전년 대비 78% 증가했다.
염흥열 순천향대학교 정보보안학과 교수는 "S-BOM이 100% 대안이 될 수는 없지만 요즘은 오픈소스 SW를 많이 활용하기 때문에 어떤 부분이 취약점인 신속하고 편리하게 찾아낼 수 있다"면서 "국내 SW가 해외 시장으로 진출하려면 S-BOM 제도 안착이 필수적으로 선결돼야 할 것"이라고 진단했다.