한국정보산업연합회가 지난 4일 글로벌 IT 대란이 촉발한 주요 이슈를 분석한 보고서를 발행했다.
보고서는 이번 글로벌 IT 대란이 주는 시사점으로 ‘사이버 공급망의 위험성 인식’, ‘소프트웨어 품질보증(QA) 검사 및 배포 체계점검’, ‘복구 탄력성 강화를 위한 비즈니스 연속성 계획(BCP) 수립’, ‘투명한 정보공개와 위기에 대응하는 리더십 발휘’, ‘분쟁 발생을 대비한 법적·제도적 준비’ 등을 언급했다.
이번 사고는 신뢰하는 업체로부터 공급받은 보안 프로그램의 업데이트 과정에서 발생해 더욱 눈길을 끌었다. 이번 사태를 교훈 삼아 기업은 외부 위협뿐만 아니라 사이버 공급망 내에 잠재된 내부 위험을 식별하고 관리하는 것에 노력을 기울여야 한다고 강조했다. 또한 공급망을 다각화해 기술 생태계를 다양하게 구축함으로써 단일 실패 지점의 영향을 최소화하려는 노력도 필요하다고 덧붙였다.
이번 사태를 유발한 크라우드스트라이크 보안 소프트웨어는 외부 위협에 신속하게 대응해야 하는 환경적 제약 때문에 단순화된 품질보증 검사만 거친 뒤 바로 배포됐다. 보고서에서는 이와같은 소프트웨어 업데이트의 배포 절차를 지적하며, 국내 소프트웨어 기업이 품질보증 및 배포에 대한 체계와 절차를 전반적으로 재검토하고 강화할 것을 권장했다.
기술적으로 완벽한 품질보증 체계를 개발해 적용하더라도 IT 보안 사고의 완전한 예방은 불가능하다는 점을 언급하며, 비즈니스 연속성 계획으로 예기치 못한 사고 발생 시에도 비즈니스의 주요 기능을 유지하는 체계를 마련해야 한다고 덧붙였다.
끝으로 보고서는 이번 글로벌 IT 대란에서 상대적으로 안전할 수 있었던 국내 금융산업과 공공부문을 토대로 원인을 분석하고 향후 클라우드 확산에 대비한 철저한 준비와 잠재적 위험에 대한 인식 제고를 촉구했다.
헬로티 구서경 기자 |
