소프트웨어 안전 사고 사례로 보는 소프트웨어 안전 체계 필요성 > 보고서

<요약>

디지털 심화 사회에서 소프트웨어는 점점 더 중추적인 역할을 맡으며 산업 전반에 걸쳐 고부가가치를 창출하고 있다. 특히 모바일 컴퓨팅, 양자컴퓨터, 사물인터넷(IoT), 자율주행차, 빅데이터, 인공지능(AI), 로봇공학, 블록체인 등 4차 산업혁명의 핵심 영역에서 기술 발전을 가속화하는 중요한 요소로 자리 잡고 있다. 

디지털 전환 가속은 디지털 사회의 복잡성과 의존성을 심화시키며 잠재적 위협이 되는 한편 디지털 기술을 활용한 안전 고도화의 기반으로도 자리매김한다. 소프트웨어 적용 확대로 인한 잠재적 위험 증가는 신체적 상해뿐만 아니라 사회적, 경제적 손실을 유발하는 사고로 이어질 수 있다. 이제 자연적·사회적 재난 사례의 증가뿐 아니라 디지털 공간에서의 안전 위협 사례가 빈번함에 따라, 소프트웨어 안전 확보는 주요 과제로 더욱 대두된다. 

소프트웨어 안전은 외부 침해 없이 소프트웨어로 인해 발생할 수 있는 사고로부터 인간의 생명이나 신체에 대한 위험에 대비하는 상태를 의미한다. 이는 'Safety of Software'와 'Safety through Software' 두 가지 측면으로 좀 더 나누어 볼 수 있다. 'Safety of Software'은 소프트웨어 자체의 무결성을 보증하며, 사용자와 이용자에게 미칠 수 있는 위험으로부터 안전하게 보호하는 소프트웨어 설계를 포함한다. 즉, 소프트웨어로 인한 사고가 발생하지 않도록 소프트웨어 자체 품질 수준을 확보하는 것을 염두에 둔다. 

'Safety through Software'은 소프트웨어 안전기능을 중점으로 하여 발생 가능한 사고를 감소 및 예방하고, 비상 상황에 대응하는 것을 말한다. 이 보고서는 각각의 사례를 분석하여 소프트웨어 안전관리 관점에서의 미비한 부분과 개선 방향을 조명하고, 추가적으로 보완해야 할 부분을 식별한다. 이를 통해 안전관리 프레임 워크 차원에서 체계적으로 살펴 우리 정책의 개선 방안을 제시하고자 한다

<결론 및 제언>

□ SW 자체에 대한 오류 뿐만 아니라 안전을 담보하기 위한 SW의 오류로 인해 발생되는 사고 사례도 갈수록 증가하고 있음

- 디지털 사회의 안전은 이러한 다양한 지점에서 발생되는 안전사고를 예방하고 수습하는 것이 또 하나의 정책과제로 부상하고 있음

□ SW안전 확보는 디지털 심화시대에서 국민의 재산과 생명의 안전을 확보하는 국가의 책무를 실현하는 것임

- 사고 예방과 피해 최소화는 국가와 지방자치단체의 법적 의무로, 적극적 대응의 타당성은 이미 확보

  * 헌법 제34조 제6항, 재난 및 안전관리 기본법 제4조(국가 등의 책무) 제2항 등

- 따라서, 디지털 사회의 안전을 확보하기 위해 SW의 안전을 확보하는 정책적 노력이 필요

□ 한편, SW안전을 확보하는 데 가장 효과적이고 확실한 방법은 예방에 있음

- 사고발생 이후에 사고의 원인을 분석하고 수습하는 일련의 과정은 책임소재 논의로 귀결되어 다양한 형태의 정책자원 낭비와 논란을 유발

- 같은 맥락에서 SW안전 사고를 예방하는 것은 국민의 안전 신뢰성을 높이고, 불필요한 사회적 비용을 아끼는 데 가장 핵심적인 출발점

□ 안전관리의 관점에서 사고관리는 사고발생의 방지(예방)에서 출발하고, 사고 발생 이후에는 피해최소화를 위해 얼마나 신속하게 대응·복구하는냐가 관건임

- 이는 예방체계와 대응체계의 선순환 구조의 확립과 각 체계 간 환류가 제대로 이루어질 때 가능

 ­ * 일상적 예방활동과 사고발생 시 대응활동의 결과가 환류체계 내에서 공유·활용되어야 함을 의미

□ (SW안전 사고관리 선순환 체계) SW안전 사고관리를 위한 선순환 체계는 예방-대비-대응-복구의 안전관리 전 프로세스에서 유기적으로 활동이 이루어져야 함

- (예방단계) 안전과 직결된 SW의 개발 및 발주에 있어서 위험원 분석 등 SW안전 개발 요구사항을 철저히 분석·반영하고, 국제표준 등에서 요구하는 기준에 부합하는지 면밀한 검토가 필요

- (대비단계) 안전 중요 SW의 개발 또는 발주를 통해 도입하여 운영하는 경우에는 SW안전관리계획을 수립하여 시행할 필요가 있으며, 이를 토대로 주기적이고 상시적인 SW안전 진단·점검 체계 구축, 사고대응 매뉴얼의 개발 및 적용, 사고대응 훈련, SW안전 사고 시 비상연락망 구축 등 대비 필요

- (대응단계) SW안전 사고 발생 시 피해최소화를 위해 신속한 사고 원인 분석 및 조치가 필요한데, 이를 위해서 SW안전 전문가가 포함된 사고조사위원회가 가동되어야 하며 평상시 SW안전 사고 조사를 위한 전문가 풀을 구축할 필요

- (복구단계) SW안전 사고조사 위원회의 결과를 중심으로 신속한 피해복구가 이루어지되, SW안전 사고를 초래한 위험원들에 대한 빠른 후속 조치 및 정보의 공유·확산 체계 마련이 필요

- (환류단계) 안전관리의 관점에서 사고를 중심으로 어느 단계에서 취약점이 있는지 식별하고 이에 대한 개선사항을 도출하여 각 단계별로 예방활동 강화, SW안전 관리계획 개선, SW안전 기준 및 매뉴얼 개정 등 후속 조치를 시행할 필요

□ 우리가 최근 경험한 코로나19로 대표되는 물리적 공간에서의 글로벌 팬데믹 현상은 디지털 공간에서 발생할 수 있는 ‘디지털 팬데믹’에 대한 철저하고 신속한 대응을 요구

- 디지털 심화시대의 SW는 과거 어느 때보다 복잡성이 높고, 시스템의 SW 의존성은 높아지고 있음

- 이는 예상하지 않은 사고의 발생 가능성을 높일 뿐만 아니라 그 피해의 규모 또한 광범위해지는 SW안전사고에 대한 정책적 노력이 필요

* 저자

▲ 박태형 SPRi 산업정책연구실 책임연구원 

▲ 이중엽 SPRi 산업정책연구실 선임연구원

▲ 손효현

<ifsPOST>

<요약>

디지털 심화 사회에서 소프트웨어는 점점 더 중추적인 역할을 맡으며 산업 전반에 걸쳐 고부가가치를 창출하고 있다. 특히 모바일 컴퓨팅, 양자컴퓨터, 사물인터넷(IoT), 자율주행차, 빅데이터, 인공지능(AI), 로봇공학, 블록체인 등 4차 산업혁명의 핵심 영역에서 기술 발전을 가속화하는 중요한 요소로 자리 잡고 있다. 

디지털 전환 가속은 디지털 사회의 복잡성과 의존성을 심화시키며 잠재적 위협이 되는 한편 디지털 기술을 활용한 안전 고도화의 기반으로도 자리매김한다. 소프트웨어 적용 확대로 인한 잠재적 위험 증가는 신체적 상해뿐만 아니라 사회적, 경제적 손실을 유발하는 사고로 이어질 수 있다. 이제 자연적·사회적 재난 사례의 증가뿐 아니라 디지털 공간에서의 안전 위협 사례가 빈번함에 따라, 소프트웨어 안전 확보는 주요 과제로 더욱 대두된다. 

소프트웨어 안전은 외부 침해 없이 소프트웨어로 인해 발생할 수 있는 사고로부터 인간의 생명이나 신체에 대한 위험에 대비하는 상태를 의미한다. 이는 'Safety of Software'와 'Safety through Software' 두 가지 측면으로 좀 더 나누어 볼 수 있다. 'Safety of Software'은 소프트웨어 자체의 무결성을 보증하며, 사용자와 이용자에게 미칠 수 있는 위험으로부터 안전하게 보호하는 소프트웨어 설계를 포함한다. 즉, 소프트웨어로 인한 사고가 발생하지 않도록 소프트웨어 자체 품질 수준을 확보하는 것을 염두에 둔다. 

'Safety through Software'은 소프트웨어 안전기능을 중점으로 하여 발생 가능한 사고를 감소 및 예방하고, 비상 상황에 대응하는 것을 말한다. 이 보고서는 각각의 사례를 분석하여 소프트웨어 안전관리 관점에서의 미비한 부분과 개선 방향을 조명하고, 추가적으로 보완해야 할 부분을 식별한다. 이를 통해 안전관리 프레임 워크 차원에서 체계적으로 살펴 우리 정책의 개선 방안을 제시하고자 한다

<결론 및 제언>

□ SW 자체에 대한 오류 뿐만 아니라 안전을 담보하기 위한 SW의 오류로 인해 발생되는 사고 사례도 갈수록 증가하고 있음

- 디지털 사회의 안전은 이러한 다양한 지점에서 발생되는 안전사고를 예방하고 수습하는 것이 또 하나의 정책과제로 부상하고 있음

□ SW안전 확보는 디지털 심화시대에서 국민의 재산과 생명의 안전을 확보하는 국가의 책무를 실현하는 것임

- 사고 예방과 피해 최소화는 국가와 지방자치단체의 법적 의무로, 적극적 대응의 타당성은 이미 확보

  * 헌법 제34조 제6항, 재난 및 안전관리 기본법 제4조(국가 등의 책무) 제2항 등

- 따라서, 디지털 사회의 안전을 확보하기 위해 SW의 안전을 확보하는 정책적 노력이 필요

□ 한편, SW안전을 확보하는 데 가장 효과적이고 확실한 방법은 예방에 있음

- 사고발생 이후에 사고의 원인을 분석하고 수습하는 일련의 과정은 책임소재 논의로 귀결되어 다양한 형태의 정책자원 낭비와 논란을 유발

- 같은 맥락에서 SW안전 사고를 예방하는 것은 국민의 안전 신뢰성을 높이고, 불필요한 사회적 비용을 아끼는 데 가장 핵심적인 출발점

□ 안전관리의 관점에서 사고관리는 사고발생의 방지(예방)에서 출발하고, 사고 발생 이후에는 피해최소화를 위해 얼마나 신속하게 대응·복구하는냐가 관건임

- 이는 예방체계와 대응체계의 선순환 구조의 확립과 각 체계 간 환류가 제대로 이루어질 때 가능

 ­ * 일상적 예방활동과 사고발생 시 대응활동의 결과가 환류체계 내에서 공유·활용되어야 함을 의미

□ (SW안전 사고관리 선순환 체계) SW안전 사고관리를 위한 선순환 체계는 예방-대비-대응-복구의 안전관리 전 프로세스에서 유기적으로 활동이 이루어져야 함

- (예방단계) 안전과 직결된 SW의 개발 및 발주에 있어서 위험원 분석 등 SW안전 개발 요구사항을 철저히 분석·반영하고, 국제표준 등에서 요구하는 기준에 부합하는지 면밀한 검토가 필요

- (대비단계) 안전 중요 SW의 개발 또는 발주를 통해 도입하여 운영하는 경우에는 SW안전관리계획을 수립하여 시행할 필요가 있으며, 이를 토대로 주기적이고 상시적인 SW안전 진단·점검 체계 구축, 사고대응 매뉴얼의 개발 및 적용, 사고대응 훈련, SW안전 사고 시 비상연락망 구축 등 대비 필요

- (대응단계) SW안전 사고 발생 시 피해최소화를 위해 신속한 사고 원인 분석 및 조치가 필요한데, 이를 위해서 SW안전 전문가가 포함된 사고조사위원회가 가동되어야 하며 평상시 SW안전 사고 조사를 위한 전문가 풀을 구축할 필요

- (복구단계) SW안전 사고조사 위원회의 결과를 중심으로 신속한 피해복구가 이루어지되, SW안전 사고를 초래한 위험원들에 대한 빠른 후속 조치 및 정보의 공유·확산 체계 마련이 필요

- (환류단계) 안전관리의 관점에서 사고를 중심으로 어느 단계에서 취약점이 있는지 식별하고 이에 대한 개선사항을 도출하여 각 단계별로 예방활동 강화, SW안전 관리계획 개선, SW안전 기준 및 매뉴얼 개정 등 후속 조치를 시행할 필요

□ 우리가 최근 경험한 코로나19로 대표되는 물리적 공간에서의 글로벌 팬데믹 현상은 디지털 공간에서 발생할 수 있는 ‘디지털 팬데믹’에 대한 철저하고 신속한 대응을 요구

- 디지털 심화시대의 SW는 과거 어느 때보다 복잡성이 높고, 시스템의 SW 의존성은 높아지고 있음

- 이는 예상하지 않은 사고의 발생 가능성을 높일 뿐만 아니라 그 피해의 규모 또한 광범위해지는 SW안전사고에 대한 정책적 노력이 필요

* 저자

▲ 박태형 SPRi 산업정책연구실 책임연구원 

▲ 이중엽 SPRi 산업정책연구실 선임연구원

▲ 손효현

<ifsPOST>