Offcanvas

개발자 / 보안 / 오픈소스

소프트웨어 공급망 보안 표준 나왔다··· 오픈소스 보안재단, SLSA 1.0 정식 버전 발표

2023.04.20 Michael Hill  |  CSO
오픈소스 보안 재단(OpenSSF)이 SLSA(Supply-chain Levels for Software Artifacts) v.1.0을 발표했다. 구조를 변경해 소프트웨어 공급망 보안 프레임워크를 소프트웨어 개발 주기의 각 영역에 맞추고 더 쉽게 접근할 수 있도록 한 것이 특징이다.
 
Image Credit : Getty Images Bank

SLSA는 커뮤니티 주도의 공급망 보안 표준 프로젝트로, 날로 엄격해지는 소프트웨어 개발 프로세스 내의 보안 기준에 중점을 두고 있다. 소프트웨어 공급망 보안의 핵심 문제를 해소해 소프트웨어 생산자와 소비자, 인프라 서비스 업체 모두에게 소프트웨어 보안을 평가하고 소프트웨어가 변조되지 않았음을 확인하고 안전하게 원본을 추적할 수 있는 효과적인 방안을 제공하는 것이 목표이다. 구글, 인텔, 마이크로소프트, VM웨어, IBM 등 대형 IT 업체가 대거 참여하고 있다. OpenSSF는 이번에 발표된 SLSA 1.0이 진입 장벽을 낮추고 사용자가 소프트웨어 빌드 개선에 집중할 수 있도록 돕고 대규모 공급망 전반에 걸쳐 변조 가능성을 줄여준다고 설명했다.

공급망 공격은 항시적인 위협으로, 소프트웨어의 구축과 배포에서 취약한 지점을 악용한다. 소프트웨어 공급망 보안은 정부기관이나 기업은 물론, 오픈소스 자원이 소프트웨어 개발과 보안 위험 모두에서 중요한 역할을 하는 폭넓은 사이버 보안 영역에서 중요성이 커지고 있다. 

SLSA 1.0 릴리스는 SLSA 레벨 요구사항의 디비전(Division)이 다중 추적으로 개념적 변화가 이뤄졌는데, 각각의 추적은 소프트웨어 공급망 보안의 특정 측면을 측정하는 개별적인 레벨 세트를 제공한다. 기존에는 단일 추적 개념이었다. OpenSSF는 새로운 디비전은 사용자가 소프트웨어 공급망과 관련된 위험을 더 잘 이해하고 완화할 수 있도록 돕고, 궁극적으로는 더 안전하고 안정적인 소프트웨어를 개발하고 시연하고 사용할 수 있다고 강조했다.

SLSA 1.0은 소프트웨어 빌드 후 변조에 대한 보호 수준을 설명하는 빌드 트랙(Build Track)으로 시작한다. 더 높은 SLSA 빌드 레벨은 소프트웨어 패키지가 승인되지 않은 수정없이 정확한 소스로부터 신뢰도를 높여준다. 

빌드 트랙은 소프트웨어 공급 주기의 다른 중요 측면을 해결하는 프레임워크를 확장할 수 있는 견실한 기반을 구축한다. OpenSSF는 향후 버전이 1.0에서 정의된 요구사항을 변경하지 않을 것으로 예상했다.

SLSA 1.0은 또한 원본 출처 검증의 필요성도 문서화했는데, 원본 출처를 어떻게 검증할 것인지 더 명확한 지침을 제공하고 사양한 원본 출처 형식도 이에 맞춰 변경했다. 구글 오픈소스 보안팀 엔지니어링 디렉터 아브히세크 아리야는 “SLSA 1.0은 소프트웨어 공급망을 보호하는 여정의 주요 이정표”라며, “SLSA는 소프트웨어 공급망의 보안을 평가하는 공통 프레임워크를 제공하며, 조직은 사용하는 소프트웨어에 관해 정확한 정보를 기반으로 의사결정을 할 수 있도록 돕는다”고 설명했다.

소프트웨어 공급망 보안은 지난 5월 바이든 행정부가 발표한 미국 사이버 보안 전략의 핵심 요소이다. 이 전략은 소프트웨어 업체가 제품 보안에 더 큰 책임감을 가질 것으로 요구한다. 지난 주에는 7개국 정부기관이 모여 소프트웨어 업체에 설계부터 보안을 염두에 둔 제품을 출하하는 데 필요한 조처를 취할 것을 촉구하는 새 지침을 발표했다. 새 지침에는 기본값 패스워드 제거, 더 안전한 프로그래밍 언어 사용, 취약점 공개 프로그램 구축 등이 포함됐다.

일각에서는 소프트웨어 개발팀과 사이버보안팀 간의 응집력이 약한 것이 기업이 직면한 소프트웨어 공급망 위험의 원인이라고 지적한다. 이 때문에 사이버보안팀은 개발자 교육과 보안 인식 훈련에 좀 더 참여하라는 요청을 받아왔다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.