SW는 산업의 물, 보안은 산업의 정수기

KMS Technology는 소프트웨어(SW) R&D 단계에서 SW의 보안 점검 및 품질 검증을 전문으로 하는 기업입니다. 최근 자동차, 금융, 제조, 통신, 서비스, 의료 등 산업 분야에 상관없이 IT 기기와 소프트웨어를 사용하고 있습니다. 덕분에 편의성은 좋아지고 있지만, Log4j 보안 취약점 등 사이버 보안 사고 피해가 대규모로 발생하면서 이에 대한 대응을 강화해야 한다는 요구가 나타나고 있습니다.

이에 KMS Technology는 IT 기기와 서비스 개발단계부터 SW의 보안 검증에 대한 솔루션과 컨설팅을 제공하고 있습니다. 주요 사업으로는 소프트웨어 품질 향상 및 관리, 오픈소스 라이선스의 법적 위험 관리 및 보안 취약점 탐지, 자동차 사이버 보안(UNECE WP.29) 취약점 탐지에 관련된 전반적인 솔루션 및 기술지원 등을 진행하고 있습니다.

오픈소스 보안취약점(CVE) 및 라이선스 관리 솔루션 ‘블랙덕 (Black Duck)’, 퍼징(Fuzzing) 기술 기반 보안 취약점 탐지 솔루션 ‘디펜직스(Defensics)’, 코딩규칙, 시큐어 코딩, 보안 약점(CWE), 런타임 에러 체크 및 소스코드 메트릭 등을 점검/검출하는 정적 분석 솔루션 ‘커버리티(Coverity)’, 통합보안솔루션 자비스(Jarvis) 2.0 등의 제품 및 관련 서비스를 제공하고 있습니다.

IT 기술이 산업 전 분야에서 활용되면서 사이버 보안 사고는 단순 해킹 사고로 끝나지 않습니다. 지난해 미국에서 송유관이 해킹을 당해 국가적 문제가 된 적이 있었죠. 이처럼 최근 기업뿐만 아니라 산업, 국경을 넘어 국가기반시설과 주요 사회 인프라를 대상으로 사이버 공격의 빈도와 강도가 지속해서 증가하고 있습니다.

IT 제조 기업 및 운영 기관은 개발뿐만 아니라 사용하는 SW의 이력과 보안취약점을 통합 관리할 필요가 있습니다. 과거에는 기업 내에서만 보안 대응이 이뤄졌다면, 지금은 사이버 보안을 의무화하고, 법률화하는 트렌드가 나타나고 있습니다. 올해 7월부터 보안 검증을 받지 않으면 유럽에 차를 수출할 수 없는 것이 대표적인 사례라고 할 수 있죠.

또 다른 트렌드는 오픈소스에 대한 부분입니다. 기업의 엔지니어가 모든 소스코드를 개발하진 않습니다. 오픈소스를 사용하거나 협력사의 소스코드를 받아오는 경우가 많은데요, 외부에서 유입된 SW의 보안 취약점은 기업 전체의 보안 위협으로 다가올 수 있습니다.

오픈소스를 사용한 개발은 보안 취약점 노출 등의 문제 발생 시 막대한 파급영향을 초래하게 됩니다. 이에 대응하기 위해 최근 미국의 행정명령, 보안 취약점 기술 표준 등은 SW 공급망 관리를 강화하고 있고, SBOM(Software Bill of Materials, 소프트웨어 원재료 명세서)이 중요해지고 있습니다. 한국 또한 민·관 정보공유 확대와 사이버 보안을 의무화하고 법률화해 범국가적 사이버 위협 대응 기반을 구축하고 있습니다. 

KMS Technology는 비즈니스도 하고 있지만, 한국의 기업과 기관에 도움을 드리는 것이 중요한 역할이라고 생각합니다. 따라서 저희는 7년째 꾸준히 사이버 보안 교육과 세미나를 진행하고 있습니다.

보안에서 가장 중요한 것은 어떤 보안 관련 이슈가 있다는 것을 인지하는 것입니다. 때문에 교육과 세미나를 통해 기업과 기관에 꾸준히 사이버 보안 대응의 중요성과 필요성, 최신 사이버 보안 동향 및 대응 방안을 알려드리고 있습니다.

이 밖에도 기업들이 별도로 요청하시는 경우도 있는데요. 직접 방문해서 컨설팅을 진행하기도 하고, 블로그 운영이나 기사 등 여러 채널을 통해서 다양한 보안 정보를 제공하기 위해 노력하고 있습니다.

자동차가 단순한 이동수단에서 커넥티드카로 발전하면서, CAN, 차량용 이더넷, Wi-Fi, Bluetooth, 인터넷, 5G, V2X, 미디어 파일 등 차량용 네트워크가 확대하고 있습니다. 이와 함께 차량 통신 프로토콜과 교통 인프라를 표적으로 한 자동차 사이버 보안 위협도 점차 증가하고 있습니다.

UN유럽경제위원회(UNECE)는 ‘UNECE WP.29’ 자동차사이버 보안 법규를 제정해 회원국이 보안 인증을 의무적으로 취득하도록 하고 있습니다. 자동차 및 차량에 탑재하는 부품은 사이버보안 검증을 받아야만 사업이 가능합니다. 현재 자동차 제조사와 대형 부품사는 상당 부분 보안을 검증할 수 있는 절차와 시스템을 가동하고 있습니다. 향후에는 모든 자동차 기업으로 보안 요구가 확장될 예정입니다.

한국인터넷진흥원(KISA)에서 자율주행차, 디지털헬스케어, 스마트공장, 실감콘텐츠, 스마트시티 융합보안에 대한 ‘융합보안리빙랩’을 전국 5개소에 구축했습니다.

각 랩에서는 신청만 하면 KMS Technology의 퍼징 도구 ‘디펜직스(Defensics)’를 사용해 융합서비스 기기의 보안성 시험 환경 구축에 도움을 받을 수 있습니다.

융합보안 수요자와 기업들은 보안 도구가 어떤 효과를 나타내는지 확인해야 하기 때문에 내부 검토가 많이 필요한데요. 융합보안리빙랩에서는 보다 편리하게 필요한 보안 기술을 검증할 수 있습니다.

한가지 방법론으로 소프트웨어의 보안을 모두 책임질 수 있으면 좋겠지만, 현재로써는 다양한 방법을 통해 여러 관점으로 대응해야합니다. 각 산업군별로도 표준과 취약점이 다르고 각각의 특징에 맞춘 대응 방법을 제시해야 하는 것이죠.

일반적으로 표준화가 진행된 방법 세 가지가 있습니다. 보안 약점 단계부터 소스코드 자체를 분석하는 시큐어 코딩 방법, 오픈소스의 경우 알려진 보안 취약점을 대응하는 방법과 알려지지 않은 보안 취약점을 찾아 리스트에 등록하고 대응 방안을 찾는 방법 등이 있습니다.

모의 해킹을 하는 테스트를 거치는 방법도 있는데요, 이 부분은 정량화하기가 어렵기 때문에 표준을 정할 수 있는 위의 세 가지가 가장 현실적인 방법이라고 할 수 있습니다.

‘반도체는 산업의 쌀’이라는 말이 있습니다. SW는 ‘산업의 물’과 같다고 하죠. SW가 많은 정보를 서로 유통시키고 흐름을 만들어 굉장한 부가가치를 사람들에게 주고 있기 때문입니다. 그렇다면 보안은 무엇에 빗댈 수 있을까 고민했는데요.

‘보안은 산업의 정수기’라는 생각이 들었습니다. 물이 맑을 때는 정수기가 필요 없었지만, 점차 산업이 발전하면서 물에 각종 세균과 바이러스, 화학물질 등이 오염돼 정수기가 필요해졌죠.

보안도 마찬가지입니다. IT 기술이 엄청난 발전을 했지만, 해커들의 공격과 같은 오염을 정수기 역할인 보안이 필터링 해주지 않으면, 좋은 오픈소스를 잘 사용하더라도 위험해질 수밖에 없습니다. 좋은 인프라를 잘 쓰기 위해서는 정수를 잘해야 합니다. 같은 측면에서 저희는 정수기와 같은 일을 하고 있다고 보시면 됩니다. 더불어, SW의 발전이 거듭될수록 보안에 대한 집요한 관심과 사이버 보안 위험을 사전에 대응하려는 노력은 아무리 강조해도 지나치지 않다고 생각합니다.

네이버 클라우드와 협약을 맺은 이유는 SW 트렌드 중 하나가 클라우드화이기 때문입니다. 클라우드는 누구나 쉽게 접근할 수 있는 형태이기 때문에 보안이 좀 더 중요합니다.

KMS Technology는 축적된 기술력을 바탕으로 보안 관련한 여러 가지 솔루션을 제공해드리고 있습니다. 앞으로도 사이버 보안 대응 분야에서 UNECE WP.29, SW 공급망 관리 등 국내뿐만 아니라 해외의 최신 사이버 보안 이슈에 대응할 수 있는 기술과 방안을 꾸준히 제시할 계획입니다. 또한 경쟁력 있는 기술지원을 통해 토탈 솔루션을 제공하고 최선의 대응을 할 수 있도록 방안을 제공하겠습니다.