디지털 트랜스포메이션(Digital Transformation)으로 인해 소프트웨어에 대한 의존성이 강화되면서 소프트웨어 공급망의 역할이 커지고 있다. 그러나 안전한 소프트웨어 개발 및 이용을 위한 소프트웨어 공급망 보안 관리는 사실상 어려운 실정이다. 공급망이 복잡해질수록 공급망 공격의 유형은 다각화되는 반면 공급망을 구성하는 공급업체 및 구성요소에 대한 식별 및 취약점 분석은 어려워지기 때문이다. 이에 저자는 국내외 소프트웨어 공급망 보안 관리를 위한 기술 동향에 대한 조사 분석을 수행하고 이를 기반으로 향후 적용할 수 있는 공급망 보안 관리 체계의 발전 방향에 대해 작성하였다.
디지털 트랜스포메이션(Digital Transformation)으로 인해 소프트웨어에 대한 의존성이 강화되면서 소프트웨어 공급망의 역할이 커지고 있다. 그러나 안전한 소프트웨어 개발 및 이용을 위한 소프트웨어 공급망 보안 관리는 사실상 어려운 실정이다. 공급망이 복잡해질수록 공급망 공격의 유형은 다각화되는 반면 공급망을 구성하는 공급업체 및 구성요소에 대한 식별 및 취약점 분석은 어려워지기 때문이다. 이에 저자는 국내외 소프트웨어 공급망 보안 관리를 위한 기술 동향에 대한 조사 분석을 수행하고 이를 기반으로 향후 적용할 수 있는 공급망 보안 관리 체계의 발전 방향에 대해 작성하였다.
이에 저자는 현재까지의 공급망 보안 관리 기술에 대한 국내외 동향을 조사하고 이를 토대로 추가적인 발전을 위해 필요한 체계적인 공급망 보안 관리 방안을 살펴보기로 한다.
제안 방법
이러한 공격에 대응하기 위하여 펌웨어에 숨겨진 의도적 보안 취약점을 분석/검증하는 기술이 개발되고 있다. 공급망 보안을 위해서, 5G 네트워크 장비 등의 펌웨어에 숨겨진 의도적 보안 취약점을 분석하고, 플랫폼 별로 펌웨어 언팩/리팩 및 동적 분석환경을 구축하여 펌웨어 수준의 보안 취약점을 자동 분석하고, 자동 분석된 결과를 이용하여 SBOM(Software Bill of Materials)을 생성하며, CVE 취약점을 분석 및 모니터링 할 수 있는 시스템을 개발하고 있다.
성능/효과
바이든 정부의 행정명령에는 사이버보안 사고에 대한 대응절차 표준화 지침 수립, 소프트웨어 공급망 보안 향상 및 소프트웨어 보안 강화를 위한 상세한 요구사항이 포함되어 있으며, 특히 SBOM에 대한 생성 및 관리 체계 구축이 필수적인 요소로 명시되었다.
상용 멀티플랫폼 바이너리 분석 도구인 사이벨리움(Cybellum)은 소스코드에 접근하기 어려운 환경에서도 바이너리 분석을 통해 SBOM을 신속하고 정확하게 생성할 수 있으며, 이를 기반으로 공급망을 구성하는 소프트웨어 구성 요소에 대한 완전한 가시성을 확보하고 나아가 자동화 플랫폼 기반의 취약점 관리 기능을 제공하여 보안 위협 상황에 빠르게 대응할 수 있도록 지원한다.
최근 소프트웨어 개발에 있어서 오픈소스 소프트웨어가 차지하는 비중이 급진적으로 증가하고 있다. 오픈소스 소프트웨어를 사용할 경우 기존에 개발되어 있는 요소를 일부 차용할 수 있기 때문에 개발 비용 및 시간을 줄일 수 있으면서도 오픈소스 커뮤니티에서 검증된 오픈소스 컴포넌트를 활용할 수 있어 기능적인 측면에서도 품질을 보증할 수 있다. 그러나 오픈소스 소프트웨어의 경우 소스코드가 공개되어 있기 때문에 사이버보안 공격에 노출될 가능성이 상대적으로 크다는 문제점이 있다.
후속연구
그러나 공급망 보안 관리에 있어서 타사가 개발 및 제공한 소프트웨어의 소스코드를 확보하는 것은 불가능하기 떄문에 SBOM에 대한 생성 관리를 수행하기 위해서는 바이너리 기반 분석이 필수적으로 진행되어야 한다.
소프트웨어 공급망을 대상으로 수행되는 공급망 공격은 악성코드 배포를 통한 공격 외에도 업데이트 서버, CI/CD 도구 취약점 공격, 접근제어 우회 등 다양한 경로를 통해 수행될 수 있기 때문에 철저한 사전보안 관리가 중요하다. 그러나 사실상 수동으로 모든 보안 취약점을 사전에 탐지하고 각 취약점에 대한 완화 방안을 마련하는 것은 불가능하기 때문에 신속한 취약점 탐지부터 우선순위에 근거한 취약점 완화방안 제시까지 하나의 사이클로 제공할 수 있는 전문 취약점 관리 플랫폼을 통해 지속적으로 취약점을 관리하는 것이 필요하다.
또한 사이버 공격의 타겟이 될 수 있는 보안 허점을 효과적으로 관리하기 위해서는 이러한 분석 데이터를 기반으로 SBOM과 DBOM을 생성하고 관리하여 공급망에 내재되어 있는 보안 취약점을 탐지하고 각 취약점을 완화할 수 있는 지속적인 모니터링 체계를 구축 및 운영해야 할 것이다.
이와 더불어 공급망을 구성하고 있는 구성 요소를 명확하게 식별하여 각 구성 요소 사이의 가시성을 파악하는 것이 전제되어야 할 것이다.
자동 생성된 SBOM을 이용하여 SW 패키지의 유효성 검증 및 암호 기술 등 다양한 무결성 보장 기술로 SW 공급망의 신뢰성을 확보하고, CVE 등 SW 취약점에 대해서 DB와 연동하여 소스코드 및 바이너리 취약점 탐지 기술이 개발되고 있다. 향후 SBOM에 대한 무결성 검증 및 안전성 확보를 위하여 블록체인 형태로 SBOM을 공급한다면 보다 안전한 공급망을 확보할 수 있을 것으로 전망하고 있다.
참고문헌 (1)
김대원 외 4, "공급망 보안기술 동향", 전자통신동향분석, 제35권 제4호, pp. 149-157, 2020년
※ AI-Helper는 부적절한 답변을 할 수 있습니다.