[디지털투데이 강진규 기자] 경제협력개발기구(OECD)가 전 세계적으로 추진되고 있는 디지털 트랜스포메이션(전환)에 보안 취약점이 위협이 될 것이라고 지적했다. OECD는 보안 취약점에 대한 사회적 인식을 바꿔야 하며 각 정부 정책 관계자들이 보안 취약점을 고려해야 한다고 강조했다.

18일 보안 업계와 전문가들에 따르면 지난달 말 OECD가 ‘보안 취약점 관리에 관한 보고서’, ‘제품의 디지털 보안에 관한 보고서’ 등을 공개했다. 이어 최근 한국인터넷진흥원(KISA)이 OECD 보고서를 해석, 분석해 요약본을 작성했다. 

OECD는 경제발전과 세계무역 촉진을 위해 활동하는 국제기구로 한국을 비롯해 미국, 영국, 일본, 독일 등 37개 국가가 가입돼 있다. 

OECD는 이례적으로 디지털 보안, 그중에서도 보안 취약점 문제를 거론했다. 디지털투데이가 입수한 KISA의 요약본에 따르면 OECD는 “코드는 취약점을 포함하기 마련이고, 모든 스마트 제품은 코드를 보유하기 때문에 어느 정도 취약할 수밖에 없다”며 “스마트 제품 취약점을 이용한 공격은 막대한 경제·사회적 비용을 초래할 수 있다”고 지적했다.

OECD는 그 예로 2017~2020년 사이 안드로이드, iOS 혹은 윈도 등 널리 이용되는 운영체제(OS) 제품에서 매일 평균 40개의 새로운 취약점이 공개됐고, 더 많은 취약점이 발견됐으나 공개되지 않았을 확률이 높다고 설명했다.

또 OECD는 “디지털 보안 위험이 디지털 전환에 대한 신뢰를 약화하고 상당한 경제, 사회적 비용을 초래한다. 소비자와 기업이 취약한 사물인터넷(IoT) 장비를 도입함에 따라 디지털 보안 위험은 개인의 안전에 심각한 위협이 되고 있다”며 “디지털 보안 사고의 대부분은 악의적 행위자가 디지털 생태계의 취약점을 공격에 악용함으로써 발생한다”고 밝혔다.

특히 OECD는 코로나19가 디지털 전환을 가속화해 스마트 제품의 의존성을 부각시키고 있다고 분석했다. 코로나19 등으로 디지털 기기, 서비스 활용이 늘어나고 있는데 여기에는 취약점이 존재하고 이것이 경제, 사회적 위협이 될 수 있다는 것이다.

OECD는 보안 취약점 문제를 금기시 하며 감춰서는 안된다고 강조했다. OECD 보고서는 “소프트웨어 및 하드웨어(펌웨어)의 코드에는 심각도와 위험도의 차이가 있을 뿐 항상 취약점이 존재한다”며 “취약점은 디지털 생활의 일부다. 모든 취약점을 제거하는 것은 불가능하다. 그보다는 취약점 조치를 개선해 디지털 보안 위험을 줄이고, 디지털 전환 시대의 신뢰를 도모해야 한다”고 설명했다.

OECD는 각국이 공공정책을 수행할 때 취약점 금기(vulnerability taboo)를 깨고 취약점 대응이 모범사례 채택을 통해 완화될 수 있는 디지털 생활의 현실임을 인식해야 한다고 밝혔다. 대부분 조직의 비즈니스 리더십이 제품, 시스템이 안전하다고 가정하며 취약점이 자신들의 평판과 신뢰를 떨어뜨리는 장애로 인식해 이를 감추고 있다는 것이다.

또 OECD는 디지털 시대의 리더와 의사 결정권자들이 완벽하게 안전한 디지털 환경에 대한 생각을 버리고, 제품과 정보시스템이 취약할 수 있음을 인식해야 하며, 오히려 지속적인 취약점 조치 노력을 통해 신뢰를 구축해야 한다고 지적했다. 취약점을 빨리 찾고 공개하고 선제적으로 조치를 해야 한다는 것이다.

아울러 OECD는 각국 정책 입안자들이 제품의 디지털 보안에 대해 통합적인 접근을 취하는 것이 중요하다고 강조했다. 정부가 스마트 제품을 위한 스마트 정책을 고안하고, 사후 대응보다는 사전적으로 준비하며, 제품의 디지털 보안을 위한 정책 환경을 형성해야 한다는 것이다. 특히 국제 협력이 성공의 핵심 요소라며 각국 정부가 다른 국가의 성공과 실패로부터 교훈을 얻고, 다른 국가에서 성공이 증명된 정책을 활용해야 한다고 권고했다.