"한 번 오류가 인명피해로"…자동차·의료, 어떻게 장애 방지할까?

슈어소프트테크 심정민 상무, SW 개발 보안 중요성 강조…미션크리티컬 장애 대응방안 제시

컴퓨팅입력 :2024/11/06 18:21    수정: 2024/11/06 19:31

군사, 의료 등 한 번의 장애가 인명피해까지 이어질 수 있는 산업 분야에서 사고를 방지하기 위한 방법이 제14회 소프트웨어 개발보안 컨퍼런스에서 소개됐다.

슈어소프트테크 심정민 상무이사는 6일 서울 강남구 섬유센터에서 열린 '제14회 소프트웨어 개발보안 컨퍼런스'에서 미션크리티컬 분야에서 소프트웨어(SW) 개발 보안의 중요성과 대응 방법에 대해 소개했다.

미션 크리티컬 업무는 한 번의 실수가 치명적인 피해로 이어질 수 있어 고신뢰성이 요구되는 기술 분야로 자동차, 원자력, 국방, 의료 등이 속한다.

슈어소프트테크 심정민 상무이사

슈어소프트테크는 미션크리티컬한 분야에서 SW의 안전성과 보안을 확보하기 위한 솔루션과 서비스를 제공하는 기업이다.

심 상무는 "미션크리티컬한 분야의 SW는 오류 발생 시 경제적 손실을 넘어 인명 피해 가능성이 있다"며 "더욱 엄격한 안전 및 보안 관리가 요구된다"고 강조했다.

이어 "안전한 SW 개발을 위해선 기능 안전과 사이버 보안이 핵심 요소로 각 특성을 이해하고 이를 통합 운영 및 관리할 수 있는 환경을 구축해야 한다"고 덧붙였다.

안전은 자연재해나 시스템장애 등 사고로 인한 예기치 못한 위험을 예방하는 것이며 보안은 사이버공격 등 의도적인 외부 위협에 대한 방어를 의미한다.

안전 사고의 예로는 방사선을 이용하는 의료기기에서 발생한 SW 장애가 있다. SW오류로 필터 작동에 문제가 생기면서 방사선이 과도하게 방출돼 일부환자가 사망하거나 장애를 입은 바 있다.

2013년 도요타의 캠리도 SW 오류로 인한 차량 급발진 사고로 1천200만 대 이상의 차량을 리콜했다. 이로 인해 2조4천억원의 리콜 비용이 발생했을 뿐 아니라 리콜 지연으로 인한 1조2천억원도 부과했다.

보안은 외부공격으로 인한 오류로 랜섬웨어 등 금전적인 이득이나 정치적인 목적을 가진 외부 조직의 공격이 주를 이룬다.

대표적으로 이란의 원자력 발전소가 해킹으로 인해 약 2년간 가동이 중단된 바 있다. 이 사건은 단순히 경제적 손실을 넘어 국가 주요 인프라를 공격해 국가 안보를 위협해 주목받았다.

심 상무는 이러한 사고를 방지하기 위해선 개발 과정에서 기능 안전과 사이버 보안을 통합적으로 다룰 수 있는 표준화된 개발 프로세스를 구축하는 것이 중요하다고 강조했다. IEC 61508 같은 안전 표준과 사이버 보안 표준을 기반으로 하여 각 단계에서 요구되는 절차를 통합적으로 적용함으로써, 소프트웨어의 신뢰성을 높일 수 있다는 설명이다.

더불어 특정 SW가 잘못 동작할 경우의 위험 수준 확인할 수 있는 위협 모델링과 장애로 인한 영향을 사전에 확인할 수 있는 리스크 분석을 동시에 진행할 것을 권했다. 이를 통해 잠재적인 보안 위협이 안전을 저해하지 않도록 예방할 수 있으며 시스템의 취약점을 조기에 파악하고 보완할 수 있다는 것이다.

그는 "자동차 등의 분야에서는 각 시스템의 안전 등급을 정해 이에 맞는 설계와 시험을 거치고 규정화하고 있다"며 "이런 표준을 제대로 준수하고 모든 기능을 면밀하게 검토해 오류를 사전에 방지해야 한다"고 강조했다.

이와 함께 심 상무는 휴먼에러를 최소화할 것을 조언했다. 코드 작성 중 현재 작성 중인 내용와 개발의도를 명확하게 표기해 추후 수정 과정에서 담당자가 혼란을 겪거나 불필요한 추가 업무가 발생하는 것을 방지하기 위함이다.

그는 "코드를 작성한 이후 다시 SW를 수정하거나 기능을 추가할 때 내가 해당 코드를 어떤 의도로 만들었는지 헷갈리지 않도록 만드는 것이 중요하다"며 "이런 코드를 방치할 경우 불필요한 리소스가 늘어나며 치명적인 안전사고로 이어지거나 보안 취약점으로 작동할 가능성이 높다"고 설명했다.

관련기사

더불어 그는 AI, 클라우드 등의 기술이 전 산업에 걸쳐 도입되는 만큼 보안의 중요성이 앞으로 더욱 커질 것이라고 전망했다. 이와 함께 각 산업 분야에 맞춰 최적화된 보안 서비스를 구축하기 위해 다양한 기술적 지식도 학습할 것을 조언했다.

심정민 상무는 "앞으로 보안은 IT분야를 넘어 다양한 분야로 확대되고 있는 만큼 예상하는 것보다 더 다양한 분야에서 보안의 취업문이 넓어지고 있다"며 "다만 보안은 독립적인 서비스가 아니라 각 산업 기술과 연계되는 만큼 관련 기술까지 이해한다면 그만큼 경쟁력을 확보할 수 있을 것"이라며 발표를 마쳤다.