“수요자 관점 공급망 공격 대응 체계 고려해야”
상태바
“수요자 관점 공급망 공격 대응 체계 고려해야”
  • 데이터넷
  • 승인 2022.09.10 11:21
  • 댓글 0
이 기사를 공유합니다

SBoM, 공급망 방어 실효성 한계…바이너리 파일 취약점 탐지 어려워
SW 전 라이프사이클 보호해야…수요자 주도적 보안 약점 찾을수 있어야
<배환국 소프트캠프 대표이사>

[데이터넷] 지난해 12월 과학기술정보통신부는 기술패권 경쟁시대, 기술주권 확보에 국가 역량을 결집하기 위해 관계부처 합동으로 ‘10대 국가 필수전략기술’을 선별 지원한다고 밝혔다. 여기에 디지털 사회의 필수적인 안전장치인 ‘사이버보안’도 포함 됐으며, 공급망 보안 등이 중점 기술로 숙의되고 있다.

공급망 공격 대응 방법 중 하나가 소프트웨어 구성 부품표(SBoM)이며, 미국 행정명령(EO14028)에서는 모든 소프트웨어 공급 시 반드시 제출하도록 의무화했다. 그러나 SBoM이 공급망 공격 방어에 실효성이 있을지 의문이다.

SW 개발사에만 공급망 공격 방어 의무화해선 안돼

SBoM은 소프트웨어 공급자(개발사)를 중심으로 한 정책으로, 개발사에만 의무를 강제하는 방향은 중소 소프트웨어 업체에 대한 정부 지원을 우선하는 ‘K-사이버 방역 추진 전략’과 일치하지 않는다. 공급사가 SBoM을 제출할 때, 해킹 위협에 대비하려는 개발사의 자구적인 노력을 유도할 수는 있지만 SBoM 자체가 위조될 가능성을 배제할 수 없다.

최근 소프트웨어 공급망 공격은 소프트웨어 패치 업데이트 과정에서 벌어지며, 오픈소스를 이용하거나 특정 소프트웨어 컴포넌트를 위조·변경한다. 그런데 행안부 소프트웨어 개발보안 가이드, 국방사이버안보 훈령의 소프트웨어 개발 보안 등을 통해 알 수 있듯, 공급망 공격 대응 대책은 대체로 소프트웨어 개발 단계에 초점을 맞춘다.

공급망 대책에 외부에서 소프트웨어를 공급받는 수요자 관점의 대책이 없다는 점은 깊이 고민해야 할 문제다. 소프트웨어 개발 후 납품 과정에서 발생한 문제로 공급망 공격을 당했다면, 최종 사용자에게 발생된 피해의 책임을 소프트웨어 개 발 기업에게만 일방적으로 전가하는 것도 합리적이지 않다.

SW 개발·전달 전 단계 보호해야

기술적 관점에서도 개발 단계에서의 보안만으로 충분하지 않다. 외부에서 공급받는 소프트웨어 패치 파일은 소스코드 없는 바이너리 파일이며, 수요자는 그 파일의 진본성·무결성을 검증하기위해 바이너리 관점의 SBoM을 다시 생성해야 한다. 각 소프트웨어 구성요소 중 과거와 다르게 권한상승, 의심스러운 네트워크 통신 등 위협을 유발할 수 있는 컴포넌트가 있다면 이에 대해 개발사에게 소명을 요청할 수 있는 창구가 필요하다

공급망 공격에 실질적이고 전면적으로 대응하기 위해서는, 소프트웨어의 개발 및 전달과 운영에 이르는 전 라이프사이클에서 수요자 관점의 대응체계를 선제적으로 구축해야 한다. 범정부 차원 공급망 공격 대응을 위해 사이버보 안 관계 기관들은 다중이용·공공 서비스 소프트웨어 개발사에 대한 상시 점 검, 해당 기업의 외부 공격표면에 대한 모니터링을 통해 해킹의 위협에 대비하는 공급망 검증 체계 구축도 필요하다.

제2의 솔라윈즈 사태와 같은 불가항력적인 재앙 수준의 사이버 위협에 대비하기 위해서는 관련 학계, 정부 관계기 관, 보안 산업계가 함께 TFT를 구성해 기존 제도의 개선과 신규 가이드라인의 마련 및 능동적이고 선제적인 공급망 공격 대응 시스템 구축에 대한 논의를 바로 시작해야만 할 것이다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.