[우보세] 허튼 SW 썼다가 수출길 막힌다

임종철 디자이너 /사진=임종철

"SW(소프트웨어) 공급망 보안이 새로운 무역장벽이 되고 있다. 우리 기업의 재화·서비스의 수출에 제동이 걸릴 수도 있다."

한 사이버보안업계 관계자의 얘기다. 공급망 보안이 현재의 인권, 기후변화, ESG(환경·사회·지배구조)처럼 비관세 무역장벽처럼 작용할 것이라는 우려다.

인권이 교역을 제한하는 무기로 작용한 지는 오래다. 미국·유럽연합(EU) 등 서방이 중국·러시아 등 국가에서 만든 재화·서비스의 교역을 제한할 때 주로 활용된 무기가 바로 인권이다. 기후변화 역시 마찬가지다. 수년 전부터는 ESG가 인권·기후이슈를 한데 아울러 교역을 좌우하는 화두로 떠올랐다. 지속가능성을 훼손할 수 있는 각종 변수를 지표화해 회계에 반영하도록 하는 움직임이 이미 가시화했다.

ESG규제는 공급망 단위까지 훑는다는 점에서 충격이 더 크다. ESG규제망은 개별기업 단위를 넘어 글로벌 공급망 단위에 이르기까지 리스크를 파악·대응할 것을 요구한다. 제품단위가 아니라 제품을 구성하는 부품단위에까지 리스크를 파악·관리할 것을 요구하는 교역질서가 공고화하고 있다는 얘기다.

이제 사이버보안이 새 무역장벽으로 대두할 것이라는 전망에 힘이 실린다. 지난해까지 3년에 걸친 코로나19 시대에 가속화한 디지털 전환은 재택근무 등 근무형태는 물론이고 스마트팩토리·8물류 등 제조·유통방식까지 바꿨다. 개인, 개개의 단말기기뿐 아니라 부품까지 네트워크로 연결된 세상이 열린 것이다.

그만큼 사이버공간에서의 위협도 커졌다. 최근 과학기술정보통신부, 한국인터넷진흥원(KISA)에 따르면 KISA에 접수된 침해사고 신고 건수는 2021년 640건에서 2022년 1142건으로 78% 늘어난 데 이어 올 상반기에도 664건으로 전년 동기(473건) 대비 40% 증가했다. 특히 기업 내부에서 사용하는 네트워크 모니터링프로그램 등 SW 취약점을 악용, 해당 SW를 통해 이용자의 PC를 감염시키고 원격조종 악성코드를 설치해 내부망을 장악하는 공격이 연이어 발견됐다.

이 같은 공격의 상당수는 국가 배후 전문 해킹그룹이 자행한 것으로 파악된다. 미국·영국·일본 등은 명시적으로 북한·중국·러시아·이란 등을 사이버안보를 위협하는 위험국가로 분류해 관리한다. 미국은 이미 2021년부터 연방기관에 SW 내장제품을 납품할 때 SW 구성요소를 식별할 수 있도록 한 SBOM(소프트웨어명세서) 제출을 의무화했다. 세세 구성요소까지 안전성 여부를 샅샅이 훑어본 후에야 해당 제품을 구매하겠다는 것이다.


국제공조를 통한 SW 공급망 보안강화는 점차 추세화하는 분위기다. 이미 우리 정부는 미국과 사이버안보 동맹체제를 구축, 국제공조에 본격 나섰다. 새로운 사이버안보 질서하에서는 기업들도 자사의 제품에 무슨 SW가 어떻게 만들어져 있는지까지 파악해 대응해야 한다는 지적이다. 이 같은 이유에서 최근 한국소프트웨어산업협회(KOSA)에서 SBOM협의체가 구성된 것은 환영할 일이다. 새로운 보안의 화두가 된 공급망 보안이 원활히 정착할 수 있는 기반이 되길 기대해본다.