[디지털데일리 이종현기자] 사이버공격이 점차 지능화·다양화되는 추세다. 해커들은 특정 기업을 대상으로 공격을 할 뿐만 아니라, 공급망(Supply-Chain)을 겨냥한 공격도 활발히 진행하고 있다. 작년과 올해 미국을 뒤흔들었던 ‘솔라윈즈(SolarWinds)’나 ‘카세야(Kaseya)’를 대상으로 한 공격이 공급망 공격의 예다.
공급망 공격은 기업·기관이 사용하는 소프트웨어(SW)를 제공하는 기업 시스템에 침입, 해당 기업의 SW를 사용하는 기업들에게 광범위한 피해를 끼치는 유형의 공격이다. 해커가 공급망 공격에 성공했다면 최종 사용자들은 정상적인 SW 업데이트 등 과정에서 악성코드에 감염될 수 있다.
이와 같은 공격은 점차 복잡해지고 있는 기업의 디지털 인프라 환경에서 특히 치명적이다. 기업은 수십, 수백개 이상의 SW로 구성된 시스템을 운영하고 있다. 일부 시스템의 경우 협력업체를 통해 관리하기도 한다. 많은 SW 중 일부라도 위협에 노출돼 있다면 데이터의 안전을 담보할 수 없다. 채팅상담 서비스 ‘해피톡’의 해킹으로 토스, 배달의민족 등의 고객 데이터가 유출된 것이 대표적 예다.
보안 전문가들은 SW 개발부터 보안이 적용되는, ‘시큐리티 바이 디자인(Security by Design)’이 일상화돼야 한다고 강조한다. 개발을 위한 코딩 단계부터 보안을 적용해 보안 취약점을 최소화하기 위한 보안 활동이 자리 잡아야 한다는 주장이다.
대기업의 경우 자체적으로 SW 취약점 점검 및 ‘시큐어코딩’을 시행하고 있다. 다만 중소기업의 경우 인력이나 예산 등의 부족으로 어려움을 겪고 있다.
이런 가운데 정부가 중소기업을 직접 지원하고 나섰다.
과학기술정보통신부(이하 과기정통부)는 랜섬웨어 대응 강화방환의 일환으로 경기도 성남시 정보보호클러스터에 ‘SW개발보안허브’를 구축했다. 중소기업을 대상으로 소스코드 보안 취약점 진단, 교육, 체험 등의 서비스를 제공함으로써 보안 수준 강화를 직접적으로 지원한다는 방침이다.
서비스를 재공하는 것은 사업을 수주한 보안기업 파수의 자회사 스패로우다. 정적분석도구 ‘스패로우 사스트’를 통해 기업이 보유한 SW의 소스코드 내 보안 취약점을 진단하고 제거한다.
진단 서비스는 내방형 진단과 출장형 진단으로 구분된다. SW개발보안허브에는 전문 진단원이 상주하며 컨설팅 등 전문 서비스를 제공, 필요할 경우 진단원이 직접 기업을 방문해 진단 및 조치하는 서비스도 제공한다.
장일수 스패로우 대표는 “간과하기 쉽지만 대부분 중소기업에서 개발하는 SW가 공급망에서 가장 기본이 되는 경우가 많다. 이번에 시행되는 민간 SW개발보안 지원사업이 그 어느 때 보다 의미가 큰 이유”라며 기업들의 적극적인 진단 참여를 독려했다.
홍진배 과기정통부 정보보호네트워크정책관은 “SW개발보안 활성화를 위해 소스코드 보안약점 진단, 개발자 대상 교육, 모범사례 공모전 등 다양한 사업을 추진하고 있다. SW개발보안허브는 그중 핵심 사업 중 하나”라며 “중소기업에게 보안 서비스를 제공함으로써 최근 급증하고 있는 랜섬웨어 등 사이버공격으로부터 국민·기업이 안심할 수 있는 K-사이버 방역체계를 구축하겠다”고 말했다.