[데이터넷] 솔라윈즈 사태 이후 소프트웨어 공급망 공격의 대응에 대한 중요성이 부각되고 있다. 가트너는 2025년까지 전세계 기업의 45%가 공급망 공격을 경함 할 것으로 경고하였고, 우리나라 국가정보원도 2021년 연례보고서에서 보안관제의 사각 지대를 노린 공급망 침투 및 기존 보안솔루션을 우회하는 방향으로 공격기법이 변모할 것으로 내다봤다.

개발단계의 오픈소스 의존도가 급격히 증가함에 따라 취약점이 있는 오픈소스 및 라이선스 위배 등의 요소도 공급망 공격의 주요한 위협으로 부상하고 있다. 레드펜소프트의 클라우드 기반 공급망 위협 대응 서비스 ‘엑스스캔(X-Scan)’은 소프트웨어 전체 라이프 사이클 중 개발 단계에서 수요자 관점의 공급망 공격 위협에 대처할 수 있게 한다.

SW 패치 반입·검증 시스템 혁신

최근 발생한 대부분의 공급망 공격은 소프트웨어 패치·업그레이드 과정에서 위변조된 컴포넌트가 설치되면서 시작된다. 현재 개발단계의 소스코드 보안이나 가이드라인은 최근 공격기법에 대응하지 못한다. 레드펜소프트는 소프트웨어 패치 반입과 검증 시스템의 혁신을 가져온 제품이다.

엑스스캔은 클라우드 기반의 단일 창구에서 외부 소프트웨어 패치를 반입해 자산으로서 소프트웨어 패치의 이력을 남긴다. 소스코드가 제공되지 않는 패치파일은 리버스 엔지니어링으로 소프트웨어 구성 명세서(SBoM)를 추출한다. 반입되는 소프트웨어 패치 무결성 검증을 위해 이전 버전과의 컴포넌트 비교 분석, 오픈소스 분석 등을 수행한다. 이러한 검증 과정을 통해 파악된 의심·위협 컴포넌트에 대해 소프트웨어 개발사와 실시간으로 소명하고 소통할 수 있다. 또한 소프트웨어 공급사 화이트 해커 조직과 같은 전문가 조직의 제3자 검증 서비스를 옵션으로 제공하기도 한다.

엑스스캔 서비스를 통해 내부 엔드포인트 장악이나 고객 서비스 사용자에 대한 연쇄 감염 등 공급망 공격으로 발생할 수 있는 막중한 피해를 사전에 차단할 수 있는 능동적이고 선제적인 사이버 대응 체계를 구축할 수 있다. 또한 기존에 애매하고 일관되지 못했던 소프트웨어패치 반입과 검증에 대한 사이버 보안 관점의 프로세스 개선 및 워크 플로우를 구현할 수 있다.

레드펜소프트의 엑스스캔 서비스는 대국민 금융서비스, 대국민 공공서비스 뿐만 아니라 공급망 공격 시 그 피해가 사회적인 파장을 일으킬 수 있는 국가SOC 기반 서비스, 그리고 국방 분야의 무기/비무기 체계와 방위산업체 등 전 산업군의 주요 업무에 폭넓게 활용될 것으로 기대된다.

데이터넷 다른기사 보기