5일 서울 영등포구 한국금융투자협회에서 열린 금융보안원 현안 세미나. (사진 왼쪽부터) 안태승 금융감독원 팀장, 이재용 KB국민은행 CISO, 이성권 엔키화이트햇 대표, 윤명근 국민대학교 교수, 지정호 토스증권 CISO, 임구락 금융보안원 사이버대응본부장.

[디지털데일리 김보민기자] 대규모 정보기술(IT) 대란을 반복하지 않기 위해 소프트웨어(SW) 공급망 관리 수준을 강화해야 한다는 의견이 나왔다.

한국의 경우 망분리 제도 덕에 피해 규모가 크지 않았다는 평가가 나왔지만, 단순 제도 하나 만으로 '다음 사태'를 막아낼 수 없다는 취지다. 대응책의 일환으로 SW 배포 전략을 고도화해야 한다는 의견도 제기됐다.

금융보안원은 5일 여의도 금융투자협회에서 '글로벌 사이버 정전 사태를 계기로 본 한국 금융보안의 현주소와 나아갈 방향'을 주제로 현안 세미나를 개최했다.

최근 전 세계 곳곳에서 항공, 통신, 금융, 의료 등 주요 서비스가 먹통이 되는 사태가 발생했는데, 글로벌 보안 기업 크라우드스트라이크가 보안 소프트웨어를 업데이트하는 과정에서 오류가 발생한 것이 주요 원인으로 꼽혔다. 크라우드스트라이크는 엔드포인트탐지및대응(EDR) 시장에서 선두주자로 꼽히는 기업인 만큼, 피해 규모 또한 그만큼 컸다. 업계에 따르면 약 850만대 기기가 영향을 받았다.

반면 한국은 피해 규모가 다른 국가에 비해 작았던 것으로 알려졌다. 과학기술정보통신부(이하 과기정통부)에 따르면 국내 항공사와 게임사 등 기업 10곳만이 피해를 입었다. 금융권의 경우 크라우드스트라이크 제품을 사용한 곳이더라도 즉각 대응을 했다고 금융보안원 측은 설명했다. 그만큼 금융권 영향이 적었다는 것이다.

이후 일부 전문가들 사이에서는 '망분리 덕에 살았다'는 평가가 나왔다. 망분리는 내부망과 외부망을 나눠 운영하는 체제로, 현재 관련 제도는 개선 작업을 거치고 있다.

다만 이날 현안 세미나에 참석한 전문가들은 망분리 제도 하나 만으로 이번 사태를 막았다고 평가하기에 어려움이 있다고 선을 그었다. 망분리 환경이 이번 사태에 따른 피해를 일부 줄이는 데 역할을 했을 수 있지만, 그것 만으로 안심할 수 없다는 것이다.

지정호 토스증권 최고정보보호책임자(CISO)는 "국내 경영 사례를 참고해서 망분리 수준과 클라우드 규제를 도입하겠다고 하는 해외 국가가 나올까 생각을 해봤다"며 "아마 한국을 참고해 이런 규제를 도입하겠다고 하는 나라는 없을 것"이라고 말했다.

오히려 이번 사태로 크라우드스트라이크의 글로벌 경쟁력이 증명됐다는 평가도 나왔다. 지 CISO는 "전 세계적으로 인정받는 보안 솔루션을 국내 금융회사에서 얼마나 사용하고 있었을까 묻지 않을 수 없다"며 "(크라우드스트라이크 제품이) 서비스형소프트웨어(SaaS) 형태로 보안 업데이트를 관리한다는 점을 고려했을 때, 국내 금융권에서 이를 사용한 기업은 거의 없었을 것"이라고 말했다.

사안의 본질을 파악해야 또 다른 대규모 피해를 예방할 수 있다는 취지다. 김철웅 금융보안원장은 "이번 글로벌 사이버 정전 사태는 단일 SW 결함이 전체 산업 생태계에 중대한 영향을 미칠 수 있음을 보여줬다"며 "금융 분야는 디지털 사고가 국민들의 금융 생활에 직접 영향을 미칠 수 있기에 철저한 대비가 필요하다"고 당부했다.

이날 전문가들은 SW 공급망 차원에서 대응 전략이 필요하다고 입을 모았다. 윤명근 국민대학교 교수는 "본질을 이해해야 한다"며 "일부 제기된 클라우드 및 망분리 이슈보다는 SW 배포의 안정성에 대해 검증 및 대응해야 하는 SW 공급망 보안 체계의 문제로 사태를 바라볼 필요가 있다"고 강조했다.

소프트웨어 중요성이 커지는 시점에서 공급망에 대한 점검 사항을 돌아볼 때라는 의견이다. 윤 교수는 "결국 크라우드스트라이크라는 회사가 소프트웨어 품질검증(QA) 등을 충분히 하지 않고 미션 크리티컬한 시스템에 동시에 패치 업데이트를 했던 점이 문제"라며 "품질검증이 충분하지 않은 상태라는 것은 곧 '불량품'이라는 이야기와 같은데, 불량품에 해당하는 부품이 들어오면서 이중화·삼중화 시스템이 다 망가졌던 것"이라고 설명했다.

이번 사태로 인해 금융권 또한 '단말' 단위에서 전략을 재편해야 한다는 의견도 나왔다. 금융권 단말으로는 현금자동입출금기(ATM) 등이 있다. 이성권 엔키화이트햇 대표는 "단말에서 장애가 발생했을 때 다음 조치를 어떻게 해야 될지, 그리고 그에 따라 조치를 할 수 있을지, 몸에 숙달된 대응 방법이 있는지 등의 문제가 있다"며 "이번 사태를 계기로 부족한 부분을 보완해 회복력에 대한 이슈를 점검할 필요가 있다"고 말했다.

이날 현장에서는 각 기업에 맞는 SW 공급망 전략이 필요한 때라는 점에 이견이 갈리지 않았다. 지정호 CISO는 "대표적인 방법이 점진적 SW 배포"라고 강조했다. 그는 "업무와 비즈니스 영향도를 고려해 배포 순서를 결정해야 한다"고 말했다. 이 밖에도 기업 환경에 맞는 복구 전략을 갖추고, 장애가 발생하더라도 정상화될 수 있도록 훈련을 통해 지속 검증이 필요하다고 제언했다.

한편 금융보안원은 이번 세미나에서 나온 의견을 종합해 SW 공급망 보안 체계를 강화하기 위한 방안을 마련할 예정이다. 금융당국과 금융권 SW 공급망 보안 체크리스트를 논의하는 등 근본적인 대응책을 강화한다는 구상이다.