Offcanvas

보안 / 비즈니스|경제 / 소매|유통

소프트웨어 공급망 공격 증가, 'SBOM이 필수 대응책'

2022.02.16 John P. Mello Jr.  |  CSO
앵코어(Anchore)의 최근 연구에 따르면, 작년 기업 5곳 중 3곳 이상이 소프트웨어 공급망 공격의 표적이 됐다. IT와 보안, 개발, 데브옵스 부문에 종사하는 경영진과 팀장, 관리자 428명을 대상으로 설문조사를 실시했다. 이들 중 약 3분의 1, 즉 30%가 작년에 상당한, 혹은 중간 규모의 소프트웨어 공급망 공격을 받았다고 답했다. 자사 소프트웨어 공급망에 큰 타격이 없었다고 답한 비율은 겨우 6%에 불과했다.

연구원은 작년 12월 3일부터 12월 30일까지 이 조사를 실시했으며, 아파치 로그4 유틸리티에서 발견된 취약점을 공격 범주에 포함했다. 로그4j는 작년 12월 9일에 등장했으며, 응답자의 55%가이전에도 소프트웨어 공급망 공격을 받은 적이 있다고 밝혔다. 그 수치는 로그4j가 나온 이후 65%로 급격히 올랐다.

앵코어 수석 부사장인 킴 웨인스는 “로그4j가 나오기 전에 공급망 공격을 한 번도 경험하지 않은 사용자도 있는 반면, 그 전부터 공격을 받았고 로그4j가 출시된 후 더욱 막대한 피해를 입은 사용자도 있다”라고 설명했다.
 

소프트웨어 공급망 공격에 심각한 타격을 받는 IT 업체

또한, 이번 조사에서 소프트웨어 공급망 공격을 경험한 IT 업체의 비율은 15%이며 타 산업군의 경우 3%인 것으로 나타났다. IT 업체가 다른 업계에 비해 소프트웨어 공급망 공격의 영향을 훨씬 더 크게 받는다는 것을 알 수 있었다. 웨인스는 “공격자가 침투한 소프트웨어가 수천 명의 사용자에게 배포되면 수천 곳의 각 다른 기업에 공격을 위한 기반이 형성된다”라고 경고했다.

많은 기업이 공급망 보안에도 중점을 두는 것으로 나타났다. 응답자 중 54%는 공급망 보안을 최상위, 혹은 상당히 중요한 분야로 꼽았다. 오랜 컨테이너 사용자일수록 공급망 보안에 대한 관심도는 훨씬 더 높았으며, 이들의 70%가 공급망 보안을 최우선순위로 고려해야 한다고 답했다.

웨인스는 “주의를 기울여야 할 의존성의 수는 컨테이너와 클라우드 기반 배포와 함께 증가한다. 그래서 사용자는 컨테이너 사용에 능숙해지면 의존성에 의해 생성된 기타 모든 공격 표면에도 유의해야 한다는 것을 인식하게 된다”라고 밝혔다.
 
ⓒ Getty Images Bank
 

소프트웨어 공급망 보안에 중요한 SBOM

이 보고서는 많은 사용자가 소프트웨어 공급망을 보호하는 것을 최우선 관심사로 두고 있는 것처럼 보이지만 정작 SBOM(Software Bill of Materials)을 보안 태세에 포함하는 경우는 거의 없다고 지적했다. 예를 들어, SBOM 모범 사례를 따르고 있는 응답자는 3분의 1 미만이었으며 모든 애플리케이션에 대해 완전한 SBOM을 보유하고 있다고 답한 비율은 18%에 불과했다.

웨인스는 "SBOM은 실제로 사용자가 어떤 소프트웨어를 사용하고 있는지 파악할 수 있어 소프트웨어 공급망을 보호하기 위한 중요한 기반이 된다고 생각한다”라고 밝혔다.

또한, SBOM은 취약점이 발견됐을 때 보안 팀의 응답 시간을 단축하는 데 도움이 된다. 자산 관리및 거버넌스 솔루션 업체인 주피터원(JupiterOne) CISO 수닐 유는 "SBOM이 없으면 이런 취약점을 수정하는 데 수개월, 더욱 길게는 수년이 걸릴 수도 있다”라고 강조했다.

디지털 위험 방지 솔루션 업체인 디지털 섀도우(Digital Shadow) CISO 릭 홀랜드는 "SBOM이 없으면 고객은 기능 외 작동원리를 이해할 수 없는 복잡한 장치인 블랙박스 솔루션에 투자하게 되며, 이로 인해 제품 및 서비스에 사용되는 부품에 대한 이해도가 낮아진다”라고 덧붙였다.

웨인스는 올해 SBOM은 기업에서 필수가 될 것이라고 주장한다. 그는 “소프트웨어 보안이 사용자가 모든 부품 목록을 파악하고 이를 보안 점검에 활용하는 것으로 시작된다는 사실은 갈수록 명확해지고 있다. 소프트웨어 배포 이후에는 보안을 지속적으로 모니터링해야 한다”라고 말했다.

editor@itworld.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.