지난달 19일 전 세계를 혼란에 빠뜨린 '블루스크린 사고'의 원인이 글로벌 보안업체 크라우드스트라이크의 소프트웨어 업데이트 결함으로 밝혀졌다. 전문가들은 소프트웨어 공급망 관리 부실이 또 다른 IT 대재앙을 부를 수 있음을 보여준 상징적인 사례라고 꼬집는다.
소프트웨어 공급망이란 소프트웨어의 개발, 배포, 설치 전 과정을 포함하는 개념이다. 현대의 소프트웨어는 온라인과 클라우드를 통해 배포되고 주기적으로 업데이트되는데, 이 과정에서 기술적 오류나 해킹 등의 위험에 노출될 수 있다. 이번 사고는 크라우드스트라이크 제품의 업데이트 파일이 마이크로소프트 윈도10 운영체제와 충돌하면서 발생했으며, 이로 인해 전 세계적으로 많은 기업과 기관의 컴퓨터 시스템에 장애가 발생했다.
소프트웨어 공급망 공격은 이미 여러 차례 발생했다. 2020년 솔라윈즈 사건, 2022년 국내 보안 기업 이스트소프트의 '알약' 업데이트 오류, 그리고 2023년 국내 주요 기관 해킹 사건 등이 대표적인 예다. 이러한 사건들은 소프트웨어 공급망의 취약성을 보여주며, 이에 대한 대책 마련의 필요성을 강조하고 있다.
전문가들은 소프트웨어 공급망 공격이 앞으로 더욱 증가할 것으로 예측하고 있다. 가트너는 2025년까지 전 세계 조직의 45%가 이러한 공격을 경험할 것이라고 전망했으며, 한국의 과학기술정보통신부와 한국인터넷진흥원도 소프트웨어 공급망 공격을 주요 사이버 위협으로 꼽았다.
이에 대응하여 세계 각국은 소프트웨어 개발 및 배포와 관련된 품질과 안전관리를 강화하고 있다. 미국은 연방 정부에 납품되는 소프트웨어 제품의 보안 강화를 위한 지침을 마련했고, 유럽연합은 디지털 기기의 사이버복원력 법안을 승인했다. 또한, 미국, 일본, 인도, 호주 등 4개국은 '안전한 소프트웨어를 위한 공동 원칙'을 제정했다.
한국 정부도 '소프트웨어 공급망 보안 가이드라인'을 마련하여 대응에 나서고 있다. 이 가이드라인은 소프트웨어를 제공받는 기관이나 기업들이 취해야 할 예방 조치들을 제시하고 있다.
소프트웨어 공급망 보안을 강화하기 위한 방안으로 '소프트웨어 자재 명세서(SBOM)'의 도입이 활발히 논의되고 있다. SBOM은 소프트웨어의 구성 요소와 개발 과정, 타 소프트웨어와의 융합 방식 등을 상세히 기록한 문서로, 취약점을 미리 식별하고 모니터링할 수 있게 해준다.
최윤성 고려대학교 교수는 이번 사건을 통해 디지털 인프라의 신뢰성이 얼마나 중요한지 상기되었다고 말했다. 그는 SBOM을 통한 신뢰성 확보가 향후 AI와 클라우드 분야로 확장될 수 있으며, 이러한 신뢰 체계가 재해 복원력의 기초가 될 것이라고 전망했다.
한 IT 전문가는 "이번 '블루스크린 사고'는 소프트웨어 공급망 관리의 중요성을 다시 한 번 일깨워주는 계기가 되었다"고 지적하고, "앞으로 정부와 기업들은 소프트웨어 공급망의 안전성을 높이기 위한 노력을 더욱 강화해야 할 것"이라며 "이는 단순히 사이버 보안의 문제를 넘어, 미래 산업 경쟁력 확보를 위한 중요한 과제가 될 것"이라고 했다.