SBOM과 소프트웨어 공급망 보안
  • 뉴스1
SBOM과 소프트웨어 공급망 보안
  • 뉴스1
  • 승인 2022.11.28
  • 댓글 0
이 기사를 공유합니다

2020년 발생한 솔라윈즈(SolarWinds) 사태와 2021년 발생한 로그4j 사태는 보안업계에 새로운 화두를 던졌다. 솔라윈즈는 고객사에 IT 솔루션과 소프트웨어를 공급하는 업체인데, 한 해킹 그룹이 이 업체의 오리온이라는 네트워크 모니터링 솔루션의 업데이트 파일을 공격하여 감염시킨 사건이 솔라윈즈 사태이다. 솔라윈즈는 물론 약 1만8000여 개 고객사들도 감염된 업데이트 파일로 인해 피해자가 될 수 있었다. 해커 입장에서는 한 회사만 공격했을 뿐인데 그 피해는 무려 1만8000여 개 회사에서 발생한 것이었다.

한편 로그4j는 서버·프로그램 유지·관리 중에 발생하는 기록 관리를 지원하는 자바 기반의 오픈소스 로깅 라이브러리로 민간과 공공에서 광범위하게 사용되고 있다. 그런데 로그4j에 치명적인 보안 취약점이 발견되면서 악의적 의도를 가진 해커가 로그4j의 취약점을 공격하면 비밀번호 없이 내부망에 접근하거나 랜섬웨어와 같은 악성코드를 심어 시스템을 마비시키는 것도 가능하게 된 것이었다.

두 가지 사태는 오픈소스 소프트웨어에 대한 보안이 기업과 국가의 안전을 위협하는 수준에 이르고 있다는 것과 함께 공급망 공격(supply chain attack)에 대응하기 위해 공급망 보안이 매우 중요하다는 점을 보여주었다. 최근 애플리케이션은 오픈소스 라이브러리를 사용해서 구축되는 경우가 많은데, 이는 소프트웨어 개발의 생산성을 늘리고 비용을 줄이는 장점이 있으나, 보안에는 악영향을 미치는 단점이 있다. 소프트웨어 개발자들이 작동 구조를 파악하기 어려운 외부 코드에 의존하면서 취약점을 알기 어렵게 된 것이다.

또한 오픈소스 소프트웨어 사용은 공급망 공격에 대한 대응을 어렵게 만든다. 공급망 공격은 특정 회사의 시스템 및 데이터에 접속할 수 있는 공급업체를 통해 공격자가 시스템에 침투할 때 발생한다. 즉, 공급 사슬의 상단에 있는 한 업체에 대한 공격으로 이 업체의 소프트웨어를 사용하는 다른 수많은 업체까지 공격을 받게 되는 것이다.

소프트웨어 공급망 공격에 대한 대책으로 공급망 보안의 중요성이 날로 증가하고 있다. 주요국도 공급망 공격에 대비하기 위한 대책을 서두르고 있다. 2021년 4월 미국 국토안보부 산하 사이버보안기반시설보안청(CISA)에서는 ‘Defending Against Software Supply Chain Attacks’라는 가이드라인을 발표했고, 유럽연합 산하 사이버보안 전문 센터 ENISA는 7월 ‘ENISA Threat Landscape for Supply Chain Attacks’라는 보고서를 발표했다. 일본도 정부 주도의 ‘Society 5.0 환경에서의 보안 프레임워크’를 발표한 바 있다.

한국도 2021년 2월 발표된 ‘K-사이버방역 추진전략’에서 공급망 보안을 강화하기 위한 정책으로 주요 소프트웨어 업체에 단계별 보안진단 및 조치 지원, 중소 소프트웨어 업체에 자가 보안 진단 도구 및 가이드 보급, 주요 소프트웨어 서비스 기업에 개발환경 보안점검 지원 및 공급망 검증체계 구축, 공급망 보안점검 기준 및 점검도구 개발을 제시하였다.

한편 2021년 5월 바이든 행정부는 연방정부의 보안강화 대책으로 사이버 위협정보 공유, 연방정부의 사이버보안 현대화, 소프트웨어 공급망 보안 강화, 소프트웨어 자재명세표(SBOM, Software Bill of Materials) 명시, 사이버보안 취약성 및 사고대응을 위한 플레이북 표준화 등의 내용을 담고 있는 ‘국가 사이버 보안강화 명령(Executive Order on Improving the Nation‘s Cybersecurity, 14028)’을 발표했다. 그리고 이후 CISA와 국가표준기술연구소(NIST)에서는 후속조치의 일환으로 사이버 공급망 위험관리(C-SCRM, Cyber Supply Chain Risk Management) 프레임워크와 보안소프트웨어 개발(Secure Software Development) 프레임워크를 권고하는 등 공급망 보안 강화대책을 추진하고 있다.

이런 활동 중 SBOM은 소프트웨어 구축에 사용되는 다양한 컴포넌트의 상세한 내용 및 공급망의 관계를 포함한 정식 기록으로 소프트웨어 재료명세서이다. 이는 소프트웨어 구성요소를 명확하게 밝힘으로써 국가의 사이버 보안을 강화하는데 있어 매우 중요한 제도이다. 식품의 원재료를 공개하도록 함으로써 식품의 안전을 달성할 수 있는 것과 같이 소프트웨어의 특정 요소에서 취약점이 발견됐을 때 사용자들이 빠르고 정확하게 보안대책을 적용할 수 있도록 한 것이다.

2019년 미국 전기통신 및 정보청(NTIA)에서 발행한 ‘공급망 관련 SBOM의 역할 및 이점’에 관한 보고서에 따르면 SBOM은 소프트웨어 생산, 선택, 운영 등 전 과정에서 활용가능하다. 소프트웨어 생산 시 소프트웨어 내 취약점에 대한 구성요소 모니터링이 용이하여 새로운 보안 위험이 발견될 경우 잠재적 취약성 판단이 가능하다. 또한, 소프트웨어 선택 시 소프트웨어 전반에 대한 잠재적인 위험 요소를 식별하여 사전 위험분석을 수행할 수 있다. 소프트웨어 운영시에도 현재 소프트웨어에 적용되는 새로운 취약점을 빠르게 식별하여 해결할 수 있으며, 특정 소프트웨어가 영향을 받는지에 대한 여부를 평가할 수 있다.

바이든 정부는 위 행정명령을 통해 연방기관에 납품하는 소프트웨어 제품에 대해 SBOM 제출을 의무화하였다. 이 행정명령에 따라 NTIA는 2021년 7월 SBOM의 최소 구성요소로 데이터필드, 자동화지원, 관행 및 절차를 제시했다. 데이터 필드에는 공급자 이름, 구성요소 이름, 구성요소 버전, 기타 고유 식별자, 종속성 관계, SBOM 데이터 작성자, 타임스태프 등 7가지가 포함되었다. SBOM은 연방정부에 납품하는 업체에 적용되지만 동 업체와 협력하는 업체에도 영향을 줄 수 있어 한국 기업도 적용될 가능성이 높으므로 이에 대한 준비가 필요하다고 할 것이다.

또한 한국도 공급망 공격에 취약한 국가에 속한다. 특히, 공급망 공격의 배후로 지목되는 다수의 지능형 지속 공격(Advanced Persistent Threat:APT) 그룹을 보유하고 있는 북한, 중국, 러시아와 지정학적으로 가까운 위치이며, 실제로도 다수의 공격 피해를 겪고 있다. 그동안 정부는 공공 및 금융기관의 망 분리 규제 등 사이버 보안 위협에 적극 대처하고 있으나, 망 분리만으로는 공급망 보안에 충분하지 않다. 점점 고도화, 지능화되는 소프트웨어 공급망 공격에 대한 현실적 대응을 위해 SBOM의 도입 등 제도적인 대책 마련을 서둘러야 할 것이다. 이성엽 고려대 기술경영전문대학원 교수/기술법정책센터장


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.

최신기사
  • 경북 포항시 남구 중앙로 66-1번지 경북도민일보
  • 대표전화 : 054-283-8100
  • 팩스 : 054-283-5335
  • 청소년보호책임자 : 모용복 국장
  • 법인명 : 경북도민일보(주)
  • 제호 : 경북도민일보
  • 등록번호 : 경북 가 00003
  • 인터넷 등록번호 : 경북 아 00716
  • 등록일 : 2004-03-24
  • 발행일 : 2004-03-30
  • 발행인 : 박세환
  • 대표이사 : 김찬수
  • 경북도민일보 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2024 경북도민일보. All rights reserved. mail to HiDominNews@hidomin.com
ND소프트