"C·C++ 프로그램 보안 취약"…美 CISA, 기업 내 SW 보안 악습 3가지 제시

미국 사이버 보안 및 인프라 보안국(CISA)이 사이버위협에 대한 방지를 위해 기업에서 반드시 피해야 할 보안의 악습(Bad Practices)에 대한 지침을 발표했다. 이 가이드라인은 중요한 인프라를 지원하는 시스템과 서비스의 보안 취약성을 줄이고 안전한 디지털 환경을 조성하는 데 중점을 두고 있다. 특히 C와 C++ 기반으로 작성된 중요 소프트웨어(SW)의 경우 2026년까지 메모리안전언어로 전환할 것을 강하게 권고했다. 5일 더뉴스택 등 외신에 따르면 CISA는 '제품 보안의 나쁜 관행(Product Security Bad Practices)'이라는 보안 지침을 발표했다. CISA는 사이버 공격이 점차 정교해지고 빈번해지면서 금융, 의료, 공공 안전 등 주요 산업 분야에 대한 공격으로 인한 피해를 사전에 방지하기 위해 이번 지침을 마련했다. 해당 지침은 시스템 보호를 비롯해 기업 평판과 고객 데이터 보호를 위한 기준 제시를 목표로 한다. CISA는 보안 취약점을 초래하는 대표적인 악습으로 제품 속성 정보 노출, 지원 종료된 제품 사용, 부족한 보안 절차 등 세 가지를 강조했다: 지침에 따르면 많은 기업에서 SW의 버전과 디버깅 정보, 개발 환경 세부사항 등 민감한 속성 정보를 노출하는 경우가 있다. 이러한 정보는 공격자에게 제품의 내부 구조나 잠재적 취약점을 노출시키며 이를 악용해 시스템을 침해할 수 있는 근거가 된다. 특히 CISA는 C와 C++로 작성된 프로그램의 경우 지속적으로 발생하는 메모리 버그 등으로 인해 보안 취약점이 발생하기 쉬운 점을 지적하며 메모리 안전성이 높은 언어로 전환하거나 메모리 안전 로드맵을 구성할 것을 권했다. 메모리 안전 로드맵은 메모리 오류로 인한 보안 취약점을 줄이고 코드의 안정성과 신뢰성을 높이기 위한 전략과 계획을 말한다. 기술 지원이 종료된 SW는 더 이상 보안 업데이트가 제공되지 않으므로 외부에 노출된 보안 취약점에 대한 대비가 이뤄지지 못한다. 해커 등 외부 공격자들이 이런 부분을 노려 시스템에 침투할 가능성이 높은 만큼 항상 SW 제품은 최신 버전을 유지하거나 보안 패치를 최대한 빠르게 적용해야 한다. 많은 기업에서 설치 시 제공되는 사용자명과 비밀번호를 변경하지 않고 그대로 사용할 수 있는 것으로 알려졌다. 이는 사이버공격에 쉽게 노출될 수 있는 위험 요소로 시스템 설치와 함께 변경해 보안을 강화해야 한다. CISA는 중요한 정보가 포함된 시스템의 경우 최신 암호화 표준을 적용해 데이터를 보호해야 하며 구식 암호화 알고리즘은 지양할 것을 권했다. 이와 함께 중요 인프라나 서비스의 경우 생체인증 등 다중 요소 인증(MFA)을 적용해 안전하게 시스템을 보호할 수 있는 환경을 마련해야 한다고 조언했다. CISA 측은 "주요 기업들이 2026년 초까지 사이버위협에 대한 대비 계획을 마련해야 한다"며 "일찍 준비할수록 중요한 SW 자산을 보장하기 위해 더울 나은 수단을 찾을 수 있는 시간을 더 많이 확보할 수 있다"고 강조했다.