시큐어 바이 디자인(Secure by Design) 선언 [ⓒCISA 영상 캡처]

[디지털데일리 김보민기자] 미국 사이버보안인프라보호청(CISA)의 '시큐어 바이 디자인(Secure by Design)' 서약에 동참하는 기업이 늘고 있다. 내부 자산을 탐내거나 시스템 장애로 위협을 가하는 사례가 증가하면서, 소프트웨어(SW) 설계 단계에서부터 보안을 적용해야 한다는 공감대가 커진 분위기다.

13일 관련 업계에 따르면 '시큐어 바이 디자인'에 동참한 대표 기업으로는 아마존웹서비스(AWS), 마이크로소프트(MS), 옥타, 포티넷, 소포스 등이 있다. 잭 케이블(Jack Cable) CISA 수석 기술고문은 보안매체 더레코드를 통해 "이번 서약의 결과로, 인터넷 생태계 전반에 걸쳐 영향이 나타나고 있다"며 "이번 프로젝트는 기대를 넘어섰다"고 밝혔다.

시큐어 바이 디자인은 SW 설계 단계부터 보안 체계를 갖춘다는 개념으로, CISA를 중심으로 글로벌 정보기술(IT) 산업군에 퍼지고 있다. CISA는 제품을 개발하고 설계할 때 보안을 내재화하는 것이 중요하다고 강조해왔는데, 올 초부터 시큐어 바이 디자인 서약에 동참하는 기업들이 등장하기 시작했다.

시큐어 바이 디자인 서약에는 ▲다중인증(MFA) 확대 ▲기본 비밀번호 제거 ▲취약점 전체 범주 제거 ▲보안패치 설치 증가 ▲취약점 공개 정책 게시 ▲취약점 보고서 강화 ▲침입 정보 제공 등 7가지 목표가 명시돼 있다. 서약에 동참한 기업들은 자사는 물론, 고객사에도 이 목표를 적용하고 있다.

AWS는 MFA 영역에서 목표를 달성하고 있다. 지난 7월 회사 관리자 계정에 MFA를 적용해 로그인하도록 체계를 바꾼 것이 대표적이다. 동시에 피싱 공격에 강한 FIDO2 패스키에 대한 지원도 추가했다. FIDO2는 기존 온라인 환경에서 패스워드 인증 방식의 취약점을 보완할 대안으로 떠오르고 있다. AWS에 따르면 올해 4월 이후 약 70만명의 AWS 고객이 MFA에 처음 등록했다.

MS는 자사 '시큐어 퓨처 이니셔티브'의 일환으로 시큐어 바이 디자인을 적용하고 있다. 일례로 지난 6월에는 클라우드 서비스 결함에 대한 'CVE(Common Vulnerabilities and Exposures)'를 게시하기 시작했다. MS가 취약점에 대한 내용을 직접 수정하거나 처리하기 때문에 고객이 별도 조치를 취할 필요가 없다. 10월에는 애저, 엔트라, 인튠 클라우드 서비스 사용자에 MFA 로그인을 요구하기 시작했고, 사용자 인증 오류를 제거하기 위해 ID 기술을 표준화하는 작업도 추진했다.

소포스는 7가지 목표의 핵심 요구 사항을 달성했다는 입장이다. 고객이 FIDO2 토큰을 사용해 자사 웹 포털에 로그인할 수 있도록 하고, 1년 내 비밀번호 후속 버전으로 여겨지는 디지털 패스키에 대한 지원을 추가하는 계획도 추진하고 있다.

이 밖에도 옥타는 기본 비밀번호 사용 감소, 취약점 보고서 강화, 침입 정보 제공 등 세 가지 영역에서 목표를 달성한 상태다. 옥타에 따르면 회사는 1년 기한 내 나머지 4개 목표를 완료할 예정이다. 포티넷 또한 기본 비밀번호 제거, CVE 보고서에 CWE(Common Weakness Enumeration) 데이터 제공, 취약성 공개 등 목표를 달성한 상태다. 포티넷 또한 클라우드 서비스 사용자에게 MFA 로그인을 요구하기 시작했다.

한편 CISA는 서약을 갱신하거나 확장하는 방법을 고려하고 있는 것으로 전해진다. 다만 거대 SW 기업들이 서약에 동참한 것과 달리, 중소 및 중견기업에서는 움직임이 더딘 상황이다. 국내 보안업계 관계자는 "(중소 개발사들이 동참하지 않은 만큼) SW 시장에 미치는 영향은 제한적일 것"이라고 말했다.