Offcanvas
코드 무단 조작을 검출할 수 있는 기업 비율
37
%
자료 제목 :
소프트웨어 공급망 공격 탐지 설문 조사
Flying Blind: Software Firms Struggle To Detect Supply Chain Hacks
자료 출처 :
Reversing Labs, Dimensional Research
원본자료 다운로드
발행 날짜 :
2022년 06월 01일

보안

'올해 RSA 관통한 화두는...' 소프트웨어 공급망 ‘철통 보안’

2022.06.10 Cynthia Brumfield  |  CSO
RSA 컨퍼런스에서 여러 연사가 입을 모아 소프트웨어 무결성을 확보할 수 있는 각종 해법을 강조했다. 자산 관리 개선, SBOM 도입, 정부 사이버 보안과의 협력 확대 등이다.  
 
ⓒUnsplash

지난 2년간 솔라윈즈(SolarWinds) 및 Log4j 공급망 해킹 사건 같은 심각한 사이버 보안 사고가 발생했다. 이를 되짚어보면, 올해의 RSA 컨퍼런스에서 소프트웨어 보안이 화두로 떠오른 것은 그닥 놀랄 일이 아니다. 컨퍼런스에 앞서 리버싱랩스(Reversing Labs)는 소프트웨어 공급망 공격을 탐지하는 데 기업들이 직면한 어려움에 대해 300명 이상의 소프트웨어 전문가를 대상으로 조사한 결과를 발표했다.

조사 결과를 살펴보면 최근 세간의 이목을 끈 대규모 소프트웨어 공급망 보안 사고가 잇따르고 있음에도 코드의 무단 조작을 검출할 수 있는 기업은 10곳 중 4곳에 불과했다. 또한 제품의 각 라이프사이클 단계에서 무단 조작 및 침범 증거를 찾으려 소프트웨어를 검토하는 기업은 10% 미만이었다. 

SBOM 도입율이 곧 급증할 2가지 이유 
이런 상황에서 SBOM(software bill of materials)은 소프트웨어 보안을 강화할 수 있는 새로운 도구 중 하나로 떠오르고 있다. 그러나 리버싱랩스가 SBOM 사용 현황을 조사한 바에 따르면 IT 전문가의 27%만이 SBOM을 만들어 리뷰한 후 소프트웨어를 출시한다고 답했다. SBOM을 사용하지 않는 이유로는 응답자 중 44%가 전문지식과 인력 부족을, 32%가 예산 부족을 꼽았다. SBOM이 필요하지 않아서 쓰지 않는다고 답한 응답자는 7%에 불과했다. 

미국 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency, CISA) 선임 고문 겸 전략가인 앨런 프리드먼은 SBOM을 사용하지 않는 기업은 점점 시대에 뒤떨어지게 될 것이라고 말했다. 그 이유는 첫째, 솔라윈즈(SolarWinds) 해킹과 같은 보안 사고 때문에 문제가 있는 코드를 식별하는 데 사용하는 보안 소프트웨어의 SBOM를 의무적으로 요구하는 분위기가 출현했다. 두 번째 이유는 작년부터 시행된 바이든 대통령의 사이버 보안 행정명령에 따라 미연방 정부에 소프트웨어를 공급하는 모든 업체는 의무적으로 SBOM을 제공해야 한다는 점이다. 

프리드먼은 “이제 기업이 철저하게 소프트웨어 의존성을 추적하지 않는다면 신뢰할만한 소프트웨어 개발 프로세스를 갖추고 있다고 보기 힘들다”라며 “소프트웨어를 구입하거나 오픈소스 컴포넌트를 사용한다면 기업은 명확하게 파악해야 할 사항이 많다. 공급망 위협 및 각종 취약점에 대해 알아야 하고, 그러기 위해서는 운영하는 소프트웨어를 속속들이 이해하고 있어야 한다. 그래야 위협이 감지되었을 때 신속하고 효율적으로 대응할 수 있다”라고 전했다.  

리눅스 재단의 디펜더블 엠베디드 시스템(Dependable Embedded Systems) 부사장케이트 스튜어트는 SBOM의 채택률이 아직 낮지만 재단이 실시한 조사에 따르면 기업의 약 78%가 올해 SBOM을 도입할 계획인 것으로 나타났다고 전했다. "많은 기업이 대내외적으로 준비를 서두르고 있다”라고 그는 덧붙였다. 

새로운 SBOM 툴의 등장
프리드먼은 향후 1년간 SBOM의 사용률이 증가함에 따라 SBOM의 도입을 돕는 많은 새로운 툴이 다수 등장하리라 예측했다. 그는 “다양한 솔루션이 시장에 나올 것이다”라며 "SBOM 지원을 위해 무엇을 구축하든 간에, 1~2년 안에 수많은 새로운 툴이 생길 것이라는 점을 고려해 툴링 생태계를 구성해야 한다”라고 설명했다. 

아울러 스튜어트는 SBOM에 필요한 데이터의 작성과 저장을 용이하게 하기 위해 개발된 툴이 무엇이든 오픈소스 소프트웨어를 공급하는 업체를 간과해서는 안 된다고 강조했다. 그는 "해당 공급사의 솔루션이 오픈소스 커뮤니티에서 잘 작동하는지, 그리고 알맞은 도구를 갖추고 있는지 확인해야 한다"라고 말했다.

SBOM 툴링 생태계의 투명성
프리드먼은 SBOM 툴링 생태계의 보안을 유지하고 혁신을 촉진하려면 투명성이 매우 중요하다고 강조했다. 그는 “핵심 목표는 모두가 참고할 만한 기준을 만드는 것이 돼야 한다”라며 “기준이 확립되면 기업은 이런저런 툴을 비교하며 사용할 수 있다”라고 설명했다. 

한편 스튜어트는 현재 적절한 SBOM 툴을 찾는 방법이 한정되어 있으며 이는 향후 1년간 풀어야 할 과제라고 진단했다. 그는 "현재 나와 있는 여러 툴이 있기는 하다. 그러나, 이것으로 충분한가? 쓰기 편하고 구조가 잡혀 있는가? 한 곳에서 모든 툴을 검색해볼 수 있는가? 아직 그런 건 없다"라고 되물었다. 

SBOM 채택에 기업에 직면한 또 다른 과제는 클라우드와의 접목이다. "모든 게 클라우드 및 SaaS 환경으로 향하고 있다. 따라서 이러한 환경에서 어떻게 SBOM을 적용해야 할지도 고민해야 한다"라고 프리드먼은 설명했다. 

또한 SBOM을 효과적으로 운영하기 위해서는 체계적인 자산 관리 시스템도 필요하다. 이는 사이버 보안 전반에 해당되는 기본 요건이지만 여전히 대부분 기업에서 만성적인 문제로 남아 있다. 그는 체계적인 자산관리 솔루션이 없으면 SBOM이 큰 효과를 가져오지 못할 것이라고 지적했다. 프리드먼은 "SBOM에 대해 강연을 할 때 자산 관리를 제대로 하지 않는 기업은 나가달라고 말하기까지 했다”라고 언급했다. 

소프트웨어 신뢰, 역동적인 과정으로 변화 
미국의 비영리 보안 조직인 인터넷 보안 센터(Center for Internet Security)의 수석 부사장 겸 에반젤리스트 토니 세이저는 "오늘날 소프트웨어의 과제 중 하나는 신뢰가 이분법적인 개념에서 역동적인 과정으로 변화했다는 것이다"라고 말했다. "기업의 공급망은 왜 이렇게 복잡한가?”라고 그는 질문하며 “효율성 추구 때문이다. 기업은 비용을 통제하려고 노력하고 있다. 이렇게 함으로써 복잡성이 새로운 차원으로 높아졌다. 전 세계에 포진된 공급업체와 협력하지만 그들이 누군지도 모른다. 이런 세상에서 신뢰는 이분법적인 개념이 아니라 역동적인 과정으로 바뀌었다”라고 설명했다. 

비영리 소프트웨어 보안 관련 단체 세이프코드(SAFEcode)의 전무 스티브 리프너는 소프트웨어 공급망 보안에는 세 가지의 주요 위협 요소가 있다고 설명했다. 첫 번째는 악질 공급업체다. “기업을 꼬드겨 자신에게 의지하게 만들려는 업체가 공급망에 있다면 그 기업은 큰 곤란에 빠질 공산이 크다”라고 그는 진단하며 "이런 악덕 업체를 피하기란 쉽지 않다. 사전에 차단하기 어려울 것이다"라고 덧붙였다. 

두 번째 위협은 버그가 있거나 취약한 소프트웨어다. "소프트웨어 보안과 관련해 통상적으로 고려되는 모든 위협이 여기에 포함된다"라고 그는 설명했다. 세 번째 위협은 소프트웨어 개발 또는 전달 시 발생할 수 있는 해킹이다. 바로 솔라윈즈 해킹 사례가 이에 해당한다. 

"기업은 소프트웨어에 버그가 있어도 신경 쓰지 않는 악질 공급업체를 대처해야 한다. 하지만 버그가 있는 소프트웨어를 해결한다고 해도 해킹을 예방하지는 못한다”라고 리프너는 말하며 “그래서 이건 삼중으로 겹친 문제다. 소프트웨어 공급망을 관리하는 기업은 모두 같은 문제를 겪는다”라고 덧붙였다. 

솔라윈즈 CEO가 제안한 독특한 솔루션
솔라윈즈 CEO 수다카르 라마크리슈나는 컨퍼런스에서 소프트웨어 보안 문제에 대한 독특한 해결책을 제시했다. 그는 모든 소프트웨어 및 기술 회사가 CISA와 협력하는 전담 직원을 고용해야 한다며 “현재 소프트웨어 업계가 점차 진화하는 위협 상황에 효과적으로 대응할 수 있는 유일한 방법은 공공 부문과 민간 부문 간의 긴밀한 파트너십뿐이다”라고 말했다. 그는 이어 “오늘 솔라윈즈는 위협 인텔리전스 등의 정보를 공유하려는 목적으로 소프트웨어 업계 전체에 CISA의 지도와 지시에 대응하는 1명의 전담 직원을 지정할 것을 촉구한다. 솔라윈즈는 오늘 이러한 약속을 했고 다른 회사도 이에 동참해주길 바란다”라고 선언했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.