디지털 인프라 흔드는 SW 공급망 위험…SBOM‧솔루션 '투트랙 대응' [데이터링]


글로벌 기업, SW 구성 분석·OSS 보안 강화·취약점 관리 속속 공개

[아이뉴스24 김혜경 기자] 소프트웨어(SW) 공급망 보안의 중요성이 대두되면서 각국 정부는 제로 트러스트(Zero-Trust) 아키텍처를 구현하거나 '소프트웨어 자재명세서(SBOM)' 제출을 의무화하는 등 공격망 공격에 대비하기 위한 대책을 서두르고 있다.

최근 한국도 공급망 보안을 기반으로 한 새로운 사이버보안 체계 마련에 나선 가운데 글로벌 기업들도 공급망 취약점 관리 솔루션을 내놓고 있다.

소프트웨어(SW) 공급망 보안의 중요성이 대두되면서 각국 정부는 제로 트러스트(Zero-Trust) 아키텍처 구현을 요구하거나 '소프트웨어 자재명세서(SBOM)' 제출을 의무화하는 등 공격망 공격에 대비하기 위한 대책을 서두르고 있다.  [사진=픽사베이]
소프트웨어(SW) 공급망 보안의 중요성이 대두되면서 각국 정부는 제로 트러스트(Zero-Trust) 아키텍처 구현을 요구하거나 '소프트웨어 자재명세서(SBOM)' 제출을 의무화하는 등 공격망 공격에 대비하기 위한 대책을 서두르고 있다. [사진=픽사베이]

5일 과학기술정보통신부 등에 따르면 올해 초 사이버보안 패러다임 전환 연구반에 이어 지난 10월 '제로트러스트‧공급망 보안 포럼'이 출범했다. 기술개발 연구와 실증사업을 통해 보안 규제의 국가 표준화를 추진한다는 계획이다.

'솔라윈즈(SolarWinds)' 사태 이후 SW 공급망 공격이 디지털 인프라를 흔드는 위협으로 부상했다. 공급망 공격은 보안 수준이 높은 곳을 직접 공격하는 대신 상대적으로 보안이 취약한 업체를 대상으로 우회 침투하는 방식이다. SW 공급 과정이 복잡해지고 구성요소도 늘면서 이를 악용한 보안 위협을 관리해야 할 필요성이 부각되고 있는 셈이다.

노조미네트웍스가 '산스 인스티튜트(SANS Institute)'에 의뢰해 진행한 'SANS 2022 OT‧ICS 사이버보안 보고서'에 따르면 랜섬웨어가 사이버 위협 벡터 리스트 1위를 차지했다. 이어 ▲특정 국가 지원을 받는 공격(38.8%) ▲랜섬웨어를 제외한 사이버 위협(32.1%) ▲공급망 공격(30.4%) 순으로 나타났다.

공급망 보안 관련 가장 발 빠르게 움직이고 있는 곳은 미국이다. 바이든 정부는 출범 초기부터 SW 보안을 강조해 왔다. 지난해 5월에는 '국가의 사이버보안 강화를 위한 행정명령(EO14028)'을 발표하면서 제로 트러스트 아키텍처를 연방정부에서 구현하도록 요구하고, 연방기관에 SW 내장 제품을 납품할 경우 SBOM 제출을 의무화했다.

SBOM이란 SW 구성요소를 식별하기 위한 명세서다. 지난해 12월 '로그포제이(log4j)' 보안 취약점이 발견된 이후엔 오픈소스 소프트웨어(OSS) 보안과 SW 공급망 투명성을 개선하기 위한 작업을 진행하고 있다. OSS란 프로그래밍 설계도인 소스코드가 공개된 SW를 뜻한다. 올해 5월 미 정부와 산업계는 'OSS 보안 모빌리제이션 플랜(Mobilization Plan)'을 발표한 바 있다.

OSS와 SW 공급망 보안을 강화하기 위해 향후 2년에 걸쳐 약 1억5천만달러(한화 약 1천926억원)의 자금을 투입하는 것이 골자다. 보고서에는 SW 공급망 강화를 위한 3가지 기본 목표와 10가지 이행 계획(이니셔티브)이 담겼다. 보고서는 "사후 대응에서 사전 예방적인 접근 방식으로 전환하기 위한 포괄적인 투자가 팔요하다"며 "OSS 공급망에서 더 높은 수준의 보안과 신뢰성을 보장하기 위해 사용되는 시스템과 프로세스를 발전시키는 것이 목표"라고 전했다.

유렵연합(EU) 등도 공급망 보안 관련 프레임워크 구축 작업을 진행하고 있다. 2020년 12월 EU 집행위가 '향후 10년을 위한 사이버보안 전략'을 발표하면서 제안한 'NIS 2.0 지침'은 디지털 전환과 사이버 위협 수준 변화를 감안, 기존 법률 프레임워크를 업데이트한 것이다.

현재 법 개정이 추진되고 있으며, 개정안은 기존 지침 대비 ▲사이버보안 위험관리 ▲공급망 위험관리 ▲규율 적용 대상 구분 변경·확대 ▲관리 제재 ▲연계 네트워크 ▲취약점 관련 조직 등록부 제작 등이 달라질 것으로 예상된다.

글로벌 기업들도 발 빠르게 대응하고 있다. 우선 구글은 최근 '아티팩트 구성 이해를 위한 그래프(Graph for Understanding Artifact Composition, GUAC)'라는 새로운 오픈소스 프로젝트를 공개했다. GUAC은 SW 보안 메타데이터 소스를 통합하는 도구다.

사이버보안 기업 태니엄(Tanium)의 SBOM 솔루션은 오픈소스 SW에서 유발되는 외부 위협으로부터 디지털 자산을 보호할 수 있도록 지원한다. 엔드포인트 데이터를 활용해 SW 구성을 분석하고, '오픈SSL 3.0 버전'에서 새롭게 발표된 취약점 등도 제거한다는 점이 특징이다.

클라우드 네이티브 보안업체인 아쿠아시큐리는 미국 행정명령을 준수하는 SW 공급망 보안 증명을 제공한다. 개발 환경의 안전한 구성과 코드 출처 신뢰성을 보장하고, 코드 취약점이 교정됐음을 증명하는 등 SW 제공업체가 관련 요건을 준수하도록 지원한다.

파수의 자회사 스패로우도 오픈소스 라이선스 식별‧보안 취약점 관리 도구인 '스패로우 SCA'에 SBOM 내보내기 기능을 적용했다. 사용자는 해당 도구로 파일을 분석한 후 SBOM 내보내기 버튼을 클릭하면 컴포넌트 명칭과 버전 정보, 공급자 명칭 등을 한눈에 확인할 수 있다. SW 공급망 위험에 대한 가시성을 확보하고, 보안 취약점 발견 시 신속한 업데이트가 가능하다고 회사는 설명했다.

/김혜경 기자(hkmind9000@inews24.com)







포토뉴스