사이버 위협이 갈수록 커지고 크고 작은 보안 사고가 하루가 멀다하고 터지면서 사이버 보안 강화 방안 중 하나로 '보안 내재화'(Secure By Design)가 떠오르고 있다. 특히 미국 빅테크 기업들이 사이버보안·인프라보호청(CISA)의 보안내재화 서약에 동참하면서 움직임이 빨라지고 있다.
9일 정보보호업계에 따르면, 지난달 초 미국 샌프란시스코에서 열린 'RSA 컨퍼런스 2024'에서 CISA 주도 아래 보안 내재화 서약식이 열렸다. 이 행사는 SW개발사가 온프레미스, 소프트웨어, 클라우드 서비스, 서비스형 소프트웨어(SaaS) 등을 포함한 엔터프라이즈 제품·서비스에 보안을 강화하겠다고 자발적으로 약속한 자리다. 아마존웹서비스(AWS), 마이크로소프트(MS), 구글, 시스코, IBM 등 68개사가 참여했다. 현재 CISA의 보안 내재화 서약에 동참한 기업은 129개사에 달한다.
보안내재화는 '개인정보 보호 중심 설계(Privacy by Design)'와 유사한 개념이다. 개인정보 보호 중심 설계가 제품·서비스 기획-설계-제조-폐기 등 전 과정에서 개인정보 보호 요소를 고려해 개인정보 침해를 예방하는 것처럼, SW 제품·서비스 전 과정에서 보안을 반드시 고려하겠단 취지다.
구체적인 7개 목표도 설정했다. SW 제품 전반에 걸쳐 △다중인증(MFA) 늘이기 △기본 비밀번호(Default Password) 줄이기 △클래스 취약점 확산 방지 △고객의 보안패치 설치 활성화를 위한 조치 △취약점 공개 정책 게시 △취약점 보고 △고객의 사이버보안 침입 증거 수집 용이 등을 위해 노력하기로 했다.
서약에 참여한 기업은 목표 달성을 위해 성실히 노력하는 것은 물론 서명 후 1년 이내 목표 달성 방법에 관해 공개적으로 문서화해야 한다. 예를 들어, 서명 이전과 비교해 MFA를 적용한 제품을 얼마나 늘렸고 기본 패스워드 사용하는 제품은 얼마나 줄였는지 등을 공개하는 것이다.
글로벌 SW개발사가 보안내재화 노력 의지에 대해 자발적으로 선언한 것이 고무적이라는 평가다. 한국도 이 같은 흐름에 올라타야 한다는 목소리가 나온다. 미국 CISA가 리더십을 발휘한 만큼 과학기술정보통신부와 한국인터넷진흥원(KISA)이 분위기를 이끌어야 한다는 것이다.
염흥열 순천향대 정보보호학과 명예교수는 “SW개발사가 보안내재화 원칙에 따라 제품을 설계하고 보안성을 강화하는 일종의 자율 규제”라면서 “보안 사고 책임을 엔드 유저(최종소비자)만 떠안는 게 아니라 SW개발사가 일정 부분을 나눠 부담하므로 제품 보안 수준을 상당히 높여줄 것”이라고 기대했다.
그러면서 그는 “CISA와 유사한 역할인 KISA가 과기정통부와 함께 국내 보안내재화 확산을 위한 논의를 주도하는 게 바람직하다”고 덧붙였다.
KISA도 국내 기업의 보안내재화를 위한 활동을 이어오고 있다. 앞서 KISA는 지난해 CISA의 보안내재화 가이드라인 검토 작업에 참여하며 한·미 간 협력 강화 노력도 기울이고 있다.
KISA 관계자는 “국내 민간 기업의 보안내재화 촉진을 위해 시큐어코딩 가이드와 SW 공급망 보안 가이드 배포, 산업별 특성을 고려한 보안 모델 개발 지원 등 다양한 활동을 하고 있다”며 “보안내재화 촉진을 위해 지속 노력할 계획”이라고 말했다.
조재학 기자 2jh@etnews.com
