[김국배]SW산업진흥법에 '보안성' 넣는다면?

"세상에 완벽한 소프트웨어(SW)는 없다."

SW업계에서 흔히 들을 수 있는 이 말에는 SW의 불완전성이 담겨 있다. 컴퓨터 프로그램 개발은 너무나 복잡하기 때문에 필연적으로 오류가 발생할 수 밖에 없다는 의미다.

완벽함보다 개발 속도가 더 중요하다고 강조하는 기업은 SW의 불완전성을 키우는 또 다른 원인이다. 시간과 돈이 부족한 개발자는 '보안'보다는 기능이 풍부한 SW가 빨리 '실행'되도록 만들길 요구받는다.

사용 과정에서 문제가 생겨도 업데이트를 통해 다음 버전에서 해결할 수 있다고 믿으며 SW 제품을 출시하는 경우가 없다고 장담하기 어렵다.

문제는 이런 태도가 보안에는 심각한 위협을 초래할 수 있다는 점이다. SW의 보안 취약점은 빈번히 대규모 해킹으로 이어지고 있다. SW 개발·배포 단계에 악성코드를 숨기는 '공급망 공격'은 올해 가장 큰 보안 위협으로 꼽힌다. SW가 온 세상을 움직이는 엔진이 된 만큼 대책이 시급하다.

그런 의미에서 SW 산업에 더 높은 보안성을 요구하는 고객의 목소리가 커져야 한다. SW의 불완전성은 인정하되, 당연하게 받아들이지 말고 보안성을 끌어올리는 노력을 이끌어내야 한다는 뜻이다.

과학기술정보통신부가 추진하고 있는 소프트웨어산업진흥법 전면 개정이 그 계기가 될 수 있을 것 으로 생각한다.

최근 열린 공청회에서 최진영 고려대 정보보호대학원 교수는 보안성 개념을 개정안에 넣자고 제언하기도 했다. 개발자가 SW를 구현할 때 보안성을 중요하게 고려해야 한다는 취지에서다. 현재 개정안에는 SW 안전기준 항목이 신설된 상태다.

SW 보안성 강화는 결국 SW 산업 진흥을 위해서도 꼭 필요한 일이다. 기업은 보안을 강화한 SW를 개발하는 일이 장기적으로 이익이며, 그렇지 않을 경우 혹독한 대가를 치룰 수 있다는 점을 깨달아야 한다.