[데이터넷] 제로 트러스트가 보안의 최대 화두가 되고 있다. 지속적으로 검증하고 모니터링하는 제로 트러스트가 모든 서비스의 기본 원칙이 되고 있다. ㈜화산미디어의 연례 보안 세미나&전시 행사인 ‘제 22회 차세대 보안 비전 2023’에서도 ‘제로 트러스트’ 기반 보안 기술과 구현사례가 다양하게 소개됐다.

행사의 문을 연 박인우 아쿠아 시큐리티 코리아 수석은 “소프트웨어 공급망 보안에도 제로 트러스트 원칙이 필요하다”고 강조하면서 소프트웨어 개발 초기부터 배포, 운영, 업데이트 전 단계에서 보안과 무결성을 검증하고 모니터링해 비즈니스와 서비스 전반을 보호할 수 있어야 한다고 역설했다.

박인우 수석은 ▲보안되지 않거나 취약점이 포함된 코드 ▲보안되지 않은 타사 구성요소 ▲보안되지 않은 공급망 ▲보안되지 않은 배포 채널 ▲구성 오류가 포함된 소프트웨어 배포 ▲개발 도구 내 잘못된 구성과 취약점 ▲빌드 파이프라인에서 보안검사 구성 등으로 인해 소프트웨어 공급망 공격이 발생할 수 있다고 설명하며 제로 트러스트 원칙의 안전한 소프트웨어 개발 프레임워크의 필요성을 강조했다.

“SW 공급망 공격 연 평균 7배 증가”

솔라윈즈, 카세야 업데이트 파일 감염을 비롯해 애플·마이크로소프트 의존성 혼동 공격, 센티넬원 패키지 사칭 공격, 로그4j 등 유명 오픈소스 코드 취약점 악용 공격 등 소프트웨어 공급망 공격이 이어지고 있다. 그래서 EU 사이버 보안 전담기관인 ENISA는 소프트웨어 공급망 공격이 4배 증가할 것으로 예상했고, 또 다른 보안 전문기관은 2019년부터 2022년까지 소프트웨어 공급망 공격이 연 평균 742% 증가했다고 분석했다.

소프트웨어 공급망 공격은 난이도가 높지 않으면서 광범위한 피해를 입힐 수 있다. 취약점이 있는 컨테이너 이미지, 손상된 쿠버네티스 파일, 유사한 이름을 가진 악성 쿠버네티스 포드 생성, 노출된 쿠버네티스 API 암호 등은 오래 전부터 클라우드를 위협한 것이다.

NPM 등에서 유명한 코드와 유사한 이름의 파일을 게시하고, 유명 개발자와 유사한 이름으로 악성파일을 업로드하거나, 깃허브 리포지토리를 해킹해 악의적인 코드가 삽입된 패키지를 업로드하는 행위가 최근 급증하고 있다.

소프트웨어는 수많은 코드로 구성되기 때문에 실제로 공격이 시작되기 전까지 취약한 코드의 포함 여부를 알지 못한다. 오픈소스 의존성으로 인해 취약한 하나의 코드 혹은 취약한 코드의 일부만으로도 취약점 공격 영향을 받을 수 있는데, 취약한 코드는 다른 파일 내에 패키지로 포함되거나 압축 적용되기 때문에 보안 스캐너로 찾기 어렵다. 찾는다 해도 서비스에 다른 영향을 미칠 수 있기 때문에 쉽게 해결하기도 어렵다. 이 패키지를 사용하는 다른 협력사, 고객사, 서비스 사용자도 피해를 입을 수 있다.

단일 플랫폼 통한 지속적인 보안 제공

소프트웨어 공급망 공격 피해가 극심해지면서 미국은 사이버 보안 행정명령을 통해 개발 환경의 안전한 구성 보장과 코드 소스를 신뢰할 수 있는지 확인, 출시된 제품에 대한 SBOM 제출, 오픈소스 소프트웨어 무결성과 출처 데이터 유지 등을 의무화했다. 소프트웨어 보안 구성 요건을 만족시키려면 7~8개에 이르는 애플리케이션 보안 테스트 도구를 사용해야 하고, 개발자 보안 교육을 실시해야 하며, 런타임 환경에서도 지속적으로 통제, 모니터링 해야 한다.

이 모든 요소를 각각 개별 솔루션으로 해결하려면 관리되지 않은 사각지대가 너무 많이 생기며, 복잡한 도구를 익히고 사용하는데 시간과 비용을 과도하게 사용해야 하고, 개발팀과 보안팀, 운영팀의 충돌이 빈번하게 발생할 수 있다. 또 개별 도구에서는 위협 수준이 낮은 것으로 진단되었지만, 서비스가 진행되면서 점차 높은 위험을 가진 취약점으로 발전할 수 있는데, 사일로화 된 보안 도구로는 이를 찾아내지 못한다.

박인우 수석은 “소프트웨어 공급망 위협 방어를 위해서는 빌드부터 애플리케이션으로 배포될 때까지 모든 것을 지속적으로 검증하고 모니터링하며 보호해야 한다. 안전한 코드와 개발 도구 사용, 안전한 배포와 운영중 보안까지 해결해야 한다”며 “단일 플랫폼 기반 보안 솔루션만이 이 같은 복잡한 문제를 해결할 수 있다”고 강조했다.

아쿠아시큐리티는 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)에 공급망 보안 모듈을 통합시켜 단일 플랫폼에서 클라우드 애플리케이션을 처음부터 끝까지 보호할 수 있게 한다. 공급망 보안 모듈에는 소프트웨어 구성분석(SCA), 애플리케이션 보안 테스팅(SAST), IaC 분석, SBOM 생성, 무결성 보증, 개발 도구 보안, 오픈소스 상태 체크 등이 포함된다. 아쿠아 CNAPP 플랫폼의 이미지 정적·동적 분석, 레지스트리 내 이미지 분석, 클라우드 인프라의 잘못된 설정 식별과 교정, 워크로드 침해 탐지와 대응 등을 결합해 클라우드 전반을 보호할 수 있다.

아쿠아 CNAPP 플랫폼은 데브옵스팀을 위한 스캐닝 도구 ‘트리비(Trivy)’, 포괄적인 런타임 eBPF의 위협을 탐지하는 ‘트레이시(Tracee)’를 이용해 취약성과 위협 정황을 수집해 데이터 레이크에서 분석, 위협 전반을 가시화하고 통제력을 강화한다. 이를 통해 코드부터 클라우드까지 지속적인 위협 탐지와 차단, 잘못된 설정 식별과 교정을 지원한다. 또한 행위기반 통제 정책으로 런타임 서비스의 불변성을 제공한다.

완벽한 SBOM 포함된 CNAPP으로 클라우드 보호

아쿠아시큐리티는 소프트웨어 개발 수명주기 일부로 SBOM을 워크플로우에 통합시켰다. 엔터프라이즈 솔루션 중 미국 사이버 보안 행정명령을 준수하는 아쿠아 SBOM은 오픈소스 종속성 확인, 구축중인 소프트웨어와 코드 커밋 중 SBOM 생성과 적용, SBOM 통합을 고려한 워크플로우 지원, 소프트웨어 변경 혹은 통합 후 SBOM 데이터 재검증, SBOM 데이터를 사용한 지속적인 위험 평가 기반 패치 시스템 등 차세대 기능을 제공한다.

박인우 수석은 “아쿠아 시큐리티는 클라우드 애플리케이션을 처음부터 끝까지 보호하며, 여러 증명을 생성, 저장해 지속적인 제로 트러스트 보안이 가능하도록 한다. 하나의 통합 플랫폼으로 클라우드 전체를 보호하는 가장 완성도 높은 기술을 제공한다”고 설명했다.

한편 아쿠아시큐리티는 국내 고객의 클라우드 네이티브 보안을 지원하기 위해 다양한 가이드라인과 자료를 한글화 해 제공한다. 특히 공급망 보안에 관심있는 고객을 위해 CIS 벤치마크, SSDF 요구사항 별 플랫폼 적용 방안 가이드를 제공한다.

김선애 기자 다른기사 보기