[디지털세상] IT 생명주기율 개발하자

박광진 한국인터넷진흥원 정보보호본부장

  •  
  • 입력: 2009-12-08 21:02
  • 프린트
  • 페이스북
  • 트위터
  • 카카오스토리


[디지털세상] IT 생명주기율 개발하자
일상생활에 정보기술이 접목되면서 디지털서비스라는 신조어가 태생하였고 이제는 너무나 당연한 것이 되었다. 유선전화는 휴대폰, 인터넷 전화 등 IT 처리능력을 갖춘 전화로 대체되고 있다. 최근 신축한 아파트들은 휴대전화를 통해 집안의 가전들을 원격으로 제어할 수 서비스를 기본으로 제공하고 있다.

디지털서비스는 편리성이라는 무기를 앞세워 무서운 속도로 확산돼 왔다. 하지만 정보기술을 기반으로 하는 디지털서비스는 보안취약점을 내포하고 있어 범죄에 악용되면서 디지털서비스는 새로운 국면을 맞이하였다. 디지털서비스가 편리하지만 믿을 수 없다면 디지털서비스는 국민들에게 외면당할 것이다.

디지털서비스에 정보보호기술을 내재해 편리성과 신뢰성을 모두 추구해야 하는 시대가 도래하였다. 디지털 컨버전스 사회에서 정보보호는 정보기술에 기반한 디지털서비스에 융합하면서 독립형ㆍ부가형에서 통합형ㆍ내재형으로 정보보호 패러다임이 변화하였다. 정보기술과 생활서비스는 하나이고 정보보호는 별개의 부가서비스로 간주하였으나 이제는 정보기술, 정보보호, 생활서비스가 하나로 융합된 단일 개체로 바라봐야 한다.

우리가 가장 잘 알고 있는 정보보호 내재형 디지털서비스의 대표적인 예는 전자금융서비스이다. 약 10년전 정보기술과 정보보호기술을 접목한 인터넷뱅킹은 전자금융서비스라는 새로운 비즈니스 모델을 만들어 냈고 이는 현대인의 금융서비스 생활방식을 변화시켰다. 현재 은행에 가는 횟수보다 인터넷뱅킹 이용횟수가 훨씬 많아졌고 금융회사들은 창구업무를 줄이게 됐다.

하지만 아직도 다른 디지털서비스 분야에서는 정보보호기술이 외면당하고 있는 경우가 많다. 디지털서비스 제공자들은 편리성과 신뢰성을 선택해야 한다면 편리성에 손을 든다. 디지털서비스 제공자들에게는 처음부터 안전한 IT시스템을 제공할 막대한 책임이 있지만 신뢰성이 편리성을 저해한다는 이유로 IT시스템 개발단계에서 이를 심각하게 고려하지 않는다. 또한 IT시스템 결함으로 인한 사고피해를 사용자에게 부가하기 때문에 사전에 이러한 결함을 제거하려는 노력에 시간과 비용을 투자하고 있지 않다.

그렇다고 경제성 및 편리성을 무시하고 무조건 최고수준의 정보보호기술을 갖추어야 한다는 것은 아니다. 디지털서비스에 보안문제가 발생하는 경우 예상피해 정도에 따라 결정돼야 한다. 국방ㆍ항공ㆍ자동차ㆍ의료 기기 등 사고가 큰 피해를 초래할 가능성이 있는 특정 분야에는 매우 높은 정보보안 수준이 요구되지만 일반사무용 시스템에 대한 위험과 비용의 균형에 맞는 정보보안 수준을 확보하면 된다. 예상되는 위험에 맞는 정보보안 수준보다 높은 수준의 정보보안을 요구하는 것은 개발 비용의 증가에 따른 제품 가격 상승을 일으켜 디지털서비스 시장의 침체로 이어질 수 있다.

지난 2005년 2월, 미국 정보기술대통령자문위원회가 발표한 `사이버 보안 : 우선 순위의 위기(Cyber Security : A Crisis of Prioritization)'대통령 보고서에서 보안결함을 내재한 소프트웨어를 암에 비유하면서 `소프트웨어 보증 SwA(Software Assurance)'의 중요성을 부각시켰다. 몸의 극소 부위에서 발생한 암세포를 방치하면 몸 전체로 전이하는 것과 같이, 보안결함은 공격자에게 침입경로를 제공하고 이러한 소프트웨어는 네트워크를 통해 다른 IT시스템을 공격하게 된다. 하지만 암 예방이 사람의 생명을 구할 수 있는 것처럼 소프트웨어 보안결함을 예방할 수 있다면 훨씬 많은 중요자산을 지킬 수 있으며 더 나아가 국가안보에 기여할 수 있음을 제안하였다. `SwA'이란, 소프트웨어 생명주기 동안에 의도적이거나 우연히 삽입될 수 있는 취약성으로부터 소프트웨어가 안전하다는 믿는 수준을 의미한다.

이후 미국 정부는 제품출시 이전 개발단계에서 IT시스템 결함을 선제적으로 줄이고 제품을 출시한 이후에도 취약성을 보완할 수 있는 SwA 관련 표준, 가이드 및 도구 개발지원 정책을 추진하고 있다.

이제 우리나라도 IT시스템 생명주기에 정보보호 개념을 도입한 정보보호 결합형 IT 생명주기 모델을 개발해 개발업체가 활용할 수 있게 함으로써 IT시스템에 내재할 수 있는 취약성을 선제적으로 예방할 수 있는 대책이 필요한 시기이다.




가장 많이 본 기사