잇따른 글로벌 IT '먹통'에 SW 공급망 보안 중요성 ↑…내년에 주목할 솔루션은?
올해 크고 작은 개인정보보호 이슈가 우후죽순 쏟아진 가운데 미국 크라우드스트라이크의 전산 마비 등 대형 사건들로 인해 소프트웨어(SW) 공급망 보안 중요성이 더 주목 받게 된 것으로 나타났다. 내년에는 악성코드 및 보안 취약점을 선제적으로 차단하고 대응할 수 있는 솔루션이 주된 관심사로 떠오를 것이란 전망도 나온다. 4일 소만사가 발표한 '2024년 발생한 주요 개인정보보호 7대 이슈'로는 ▲크라우드스트라이크 발(發) 전산마비 사태 ▲금융권 망분리 규제 개선안 발표 ▲공공기관 다층보안체계(MLS) 전환 발표 ▲페이스북(메타) 216억원 과징금 처벌 ▲개인정보유출 과징금 전체매출 3% 부과 처분 ▲개인정보의 안전성 확보조치 기준 안내서 발간 ▲SBOM(소프트웨어 자재명세서)과 오픈소스 취약점 점검 투자 강화 등이 꼽혔다. 이 중 올 한 해 가장 크게 이슈가 된 것은 미국 보안기업 크라우드스트라이크에서 시작된 전 세계 전산마비 사태다. 이는 올해 소프트웨어 공급망 전산 사고의 대표적인 사례로, 크라우드스트라이크의 '팰컨 센서' 업데이트 버전이 MS 클라우드 서비스 '애저(Azure)'와 충돌하면서 발생했다. 이로 인해 전 세계 항공, 금융, 행정, 의료 방송 등 2만9천 곳의 업무가 마비됐으며 피해 규모는 최소 10억 달러(한화 약 1조4천억원)로 추산됐다. 이후 크라우드스트라이크는 지난 9월 미국 의회 청문회에 소환돼 공식 사과했다. 델타항공은 크라우드스트라이크를 상대로 올해 10월 5억 달러(한화 약 6천500억원) 규모의 손해배상 소송을 제기했다. 금융권 망분리 개선안 발표도 많은 이들의 관심을 끌었다. 금융당국은 최근 금융기관의 생성형 인공지능(AI) 활용과 서비스형 소프트웨어(SaaS) 이용 범위 확대를 발표한 상태다. 이에 따라 금융기관은 안전한 활용을 실현할 수 있도록 접속 단말의 보안을 강화해야 한다. 업무상 허용된 단말로만 해당 서비스를 활용할 수 있도록 통제해야 하며 단말과 생성형 AI, SaaS 서비스 간 감사로그를 확보해야 한다. 또 단말과 SaaS 서비스 간 개인정보 및 신용정보 전송 등 이상행위를 통제해 조직 생산성 향상과 IT 신기술 부작용을 최소화 할 수 있어야 한다. 공공기관 대상 다층보안체계(MLS) 망분리 개선 로드맵도 주요 이슈로 급부상했다. 정부는 최근 사이버 안보정책방향을 공개했는데, 중요도에 따라 개인정보를 차등적으로 통제하는 다층보안체계 로드맵과 인터넷 단말에 생성형 AI, 업무용 소프트웨어, 인터넷 사용을 점진적으로 확대하는 계획을 발표했다. 해당 계획은 2025년 초까지 시범사업 수행 후 확대 적용될 예정이다. 페이스북을 운영하는 메타가 개인정보보호위원회로부터 216억원의 과징금을 부과 받은 것도 업계의 이목을 끌었다. 개인정보위는 페이스북이 국내 98만 명 이용자를 대상으로 종교, 정치, 동성과의 결혼여부 등 민감정보를 수집한 데다, 수집된 정보를 4천여 광고주를 통해 동성애, 트랜스젠더, 북한이탈주민 등 민감한 주제로 타깃광고에 이용했다는 점을 이유로 이 같이 조치했다. 이번 과징금 부과는 2020년 67억원 과징금 부과 이후 다섯 번째 제재로, 개인정보보호법 위반으로 누적 합산된 페이스북의 과징금은 현재 약 729억원이다. 개인정보 유출 과징금을 전체 매출에서 3% 부과하는 처분이 시작되면서 많은 기업들이 긴장감을 드러내기도 했다. 특히 220만 명 개인정보 유출사고가 발생한 골프 관련 기업인 G사에 과징금 75억원이 부과돼 크게 주목 받기도 했다. 지난 2023년 9월 개인정보보호법에서 개정된 '전체매출 3% 과징금 부과' 규정 첫 적용 사례였기 때문이다. 기존법령에 따라 개인정보가 유출됐어도 안전성 확보에 필요한 조치를 다 한 경우에는 처벌을 면할 수 있다. 그러나 G사는 개인정보 유출통제 기술적 보호조치 미흡, 주민등록번호처리 및 파기의무를 위반해 이 같은 과징금을 처벌 받았다. 지난 2023년 9월 개정 이후 변경 내용을 반영한 '개인정보의 안전성 확보조치 기준 안내서'도 올해 발간돼 기업들에게 많은 도움이 됐다. 이번 안내서에서는 FTP, 백업서버 등 공용 파일처리시스템을 개인정보 처리시스템으로 분류했다. 또 클라우드 컴퓨팅 서비스 기반의 개인정보 처리시스템도 기술적 보호조치 대상임을 명시했다. 크리덴셜 스터핑 공격을 이용한 홈페이지 해킹사고를 개인정보 유출사고 범위에 포함해 개인정보보호법의 적용을 받는 기업과 기관은 해당 규정을 준수할 수 있도록 기술적 보호조치를 취하도록 안내한 것도 특징이다. 소프트웨어 자재명세서(SBOM)와 오픈소스 취약점 점검을 위해 투자 활동이 강화된 것도 올해 주요 이슈였다. 이는 지난 2월 리눅스(Linux) XZ 유틸(Utils) 백도어를 시작으로 7월 크라우드스트라이크, 11월 세일즈포스 전산마비 등 소프트웨어 공급망 관련 전산사고가 지속적으로 발생한 것이 큰 영향을 줬다. 이에 과기정통부는 'SW 공급망 보안 가이드라인'을, 금융보안원은 '금융회사대상 SW공급망 자율점검 체크리스트'를 공개하며 공급망 보안에 집중하고 있다. 소만사 관계자는 "바이든 정부에 이어 트럼프 정부도 공급망 보안 위험관리 대표방안인 SBOM을 강화할 것으로 전망된다"며 "국내 정부도 SW 수출 활성화를 위해 SBOM 의무화를 가속화할 것으로 예상한다"고 말했다. 그러면서 "올해는 개인정보보호법 개정에 따른 수십~수백억원대 과징금 부과 처분 시작, 공공·금융기관 망분리 환경개선 로드맵을 통한 IT 신기술 적용 등 보안규제의 변화가 다방면에서 시작된 해"라며 "달라진 업무환경과 변화된 컴플라이언스에 부합하는 솔루션을 지속적으로 개발, 안정화시켜 보안위협으로부터 정보자산을 안전하게 지킬 수 있도록 노력하겠다"고 덧붙였다.
