최근 공급망 공격이 증가하면서(예: 대표적으로 지난 2021년 수많은 대기업에 피해를 끼친 솔라윈즈 공격) 이 주제가 부각되고 있다. 보고서는 주요 프레임워크에서 권장하는 많은 공급망 보안 관행이 소프트웨어 개발자 사이에서 이미 시행되고 있다고 밝혔다. 이는 지난 8년 동안 ‘계속해서 진행 중’인 설문조사 결과를 기반으로 한다(3만 3,000명 이상의 개발자).
소프트웨어 공급망 개발 문제를 해결하기 위한 2가지 주요 프레임워크가 있는데, 이는 최신 소프트웨어 개발의 복잡성에서 비롯됐다. 많은 프로젝트에 오픈소스 구성 요소, 라이선스가 부여된 라이브러리, 수많은 개발자 및 서드파티의 기여가 포함돼 있기 때문이다.
2가지 주요 프레임워크 중 하나는 구글이 지원하는 표준인 ‘소프트웨어 아티팩트용 공급망 레벨(Supply-chain Levels for Software Artifacts)’이며, 다른 하나는 NIST의 ‘보안 소프트웨어 개발 프레임워크(Secure Software Development Framework)’다. 둘 다 ▲ 소프트웨어 변경사항 2인 검토, ▲ 보호된 소스코드 플랫폼, ▲ 종속성 추적을 포함해 소프트웨어 개발을 위한 여러 모범 사례를 열거한다.
공급망 보안 회사 체인가드(Chainguard)의 보안 데이터 과학자이자 보고서 작성자 중 한 명인 존 스피드 마이어스는 “설문조사 결과, 흥미로운 점은 이러한 관행 중 상당수가 실제로 비교적 확립돼 있다는 것이다. 전체 응답자의 50%가 많은 관행이 확립돼 있다고 말했다”라고 전했다.
ⓒGoogle Cloud
또 다른 보고서 작성자이자 구글의 사용자 경험 연구원 토드 쿨레자에 따르면 이렇게 확립된 관행 중에서 가장 일반적인 것은 ‘CI/CD’로, 이는 다양한 개발 단계에서 자동화를 활용하여 애플리케이션과 업데이트를 신속하게 제공하는 방법이다. “공급망 보안을 위한 핵심 요소 중 하나다. 안전장치(backstop)인 셈이다. 개발자들은 동일한 취약점 스캐너가 모든 코드에 실행된다는 사실을 알고 있다”라고 그는 덧붙였다.
아울러 보고서는 (기술이 아닌) 건전한 소프트웨어 개발팀 문화가 ‘보안 사고 감소’와 ‘소프트웨어 딜리버리 개선’의 예측 변수라는 사실을 발견했다고 밝혔다. 개발자가 편안하게 문제를 보고하고, 이러한 보고가 후속 조치로 이어지리라 확신하는 신뢰 문화일수록 안전한 소프트웨어를 생산하고 좋은 개발자를 유지할 가능성이 훨씬 더 높은 것으로 조사됐다.
보고서에서 규칙 기반의 ‘관료주의적(bureaucratic)’ 또는 권력 중심의 문화와는 대조적인 ‘생성적(generative)’ 문화라고 설명하는, 소프트웨어 워킹 그룹의 높은 수준의 신뢰 및 협업 문화는 무엇보다 중요하다고 쿨레자는 강조했다. 그는 “개발 사고에 대한 사후 조치 보고서와 사전 설정된 업무 표준 등의 관행이 전반적으로 더 나은 결과를 가져왔다”라고 전했다.
이어 쿨레자는 “엔지니어가 보안 취약점을 발견했다고 해보자. 이때 이 문제를 밝히는 것을 두려워하는 조직에 있고 싶지 않을 것”이라고 덧붙였다. ciokr@idg.co.kr
2022.10.04
Jon Gold | CSO
추천기사