AI 활용 코드 취약점·대응방안 찾는 솔루션 등장
[데이터넷] 소프트웨어 공급망이 공격자들의 중요한 먹잇감이 되고 있다. 복잡한 공급망의 한 지점만 침투하면 공급망에 연결된 모든 조직을 공격할 수 있기 때문이다. 보안에 소홀한 SW 개발사, 깃허브와 같은 코드 저장소, 오픈소스 취약점 등은 공급망 공격에 매우 취약하다. 대형 글로벌 기업의 코드서명 인증서가 탈취도 공격에 악용되고 있기도 하다. 소프트웨어 공급망 공격 동향을 분석하고, 필요한 대안을 제안한다.<편집자>
오픈소스, 공급망 공격 위협 높여
소프트웨어 공급망 위협을 높이는 중요한 요인 중 하나가 오픈소스다. 현재 사용되는 소프트웨어의 90% 이상이 오픈소스 코드로 이뤄진다. 대부분의 소프트웨어 개발은 오픈소스 라이브러리에서 필요한 파일을 가져와서 조립하는 방식으로 진행된다. 오픈소스 코드를 그대로 가져오기도 하지만, 일부만 쪼개서 가져오기도 한다.
운영중인 소프트웨어에 어떤 취약점이 있는지 파악하는 것이 점점 더 어려워지고 있다. 레드햇 ‘2023 쿠버네티스 보안 현황’에서는 소프트웨어 공급망 보안이 우려되는 이유로 35%가 소프트웨어 취약점, 32%가 오픈소스 사용을 들었다. 팔로알토 네트웍스 조사에서는 운영환경 코드베이스의 63%에 위험도가 높거나 치명적(CVSS 7.0 이상)으로 분류된 패치되지 않은 취약점이 발견됐다.
오픈소스로 인한 문제 해결을 위해 2016년 퀄컴, 지멘스, 윈드리버, ARM, 어도비 등이 주축이 된 오픈체인(OpenChain) 프로젝트가 리눅스파운데이션에 설립됐다. 우리나라 금융결제원, LG전자, SK텔레콤, 삼성전자, ETRI 등 여러 기관·기업들도 참여하고 있다. 오픈체인은 소프트웨어 공급망 내 구성원이 오픈소스 컴플라이언스 준수에 참여하기 위해 결성됐으며, 오픈소스 관리 국제 표준인 ISO/IEC5230(라이선스 컴플라이언스), ISO/IEC DIS 18974(보안 어슈어런스)를 채택했다.
오픈체인에 참여하면서 자체 오픈소스 관리 프로세스를 체계화 한 사례로 LG전자가 유명하다. LG전자는 오픈소스 컴플라이언스도구 ‘포스라이트(FOSSLight)’를 개발해 사용하고 있으며, 외부 협력을 위해 사외에 공개했다.
포스라이트는 ▲소스코드, 바이너리, 종속성 분석을 수행하고 그 보고서를 생성하는 스캐너(Scanner) ▲오픈소스 라이선스, 취약성을 관리하며 프로젝트 별 자재명세(BOM)을 관리해 오픈소스 컴플라이언스 프로세스를 처리하는 허브(Hub)로 구성된다. 포스라이트는 LG전자, ETRI, 라인, 현대 오토에버 등에서 사용하고 있다.
엄위상 LG전자 상무는 OSBC 컨퍼런스에서 LG전자의 보안개발 체계인 LG-SDL에 대해 소개하며 “오픈소스는 창작자와 기여자의 권리를 보장하기 위해 반드시 컴플라이언스를 준수해야 하며, 보안 강화를 위한 노력이 동반되어야 한다”며 “LG전자는 공급망 전체에서 컴플라이언스와 보안 확보를 위해 노력해왔으며, 2021년 포스라이트를 공개하고 지속적으로 개선하고 있다”고 밝혔다.
오픈소스 라이선스와 취약점 문제를 해결하는 솔루션은 이미 오래 전부터 시장에 제공되어왔다. 시높시스가 인수한 블랙덕소프트웨어, 바이너리 파일 분석 전문기업 인사이너리, OSBC가 공급하는 포스ID도 활발하게 활동하고 있다. 체크막스, 스패로우 등 AST 공급업체는 자사 포트폴리오 중 SCA 제품을 통해 오픈소스를 관리한다.
그런데 오픈소스 취약점 문제 해결을 위해서는 개발자의 개발습관, 개발자 커뮤니티 특성, 기업의 개발문화 등의 개선이 함께 이뤄져야 하기 때문에 솔루션 도입만으로 해결할 수는 없다.
OSBC 컨퍼런스에서 오픈소스 관리 방안을 소개한 장학성 SK텔레콤 매니저는 오픈소스를 활용해 효과적인 소프트웨어 개발을 하기 위해 ▲오픈소스 라이선스 컴플라이언스 관리 ▲오픈소스 보안 취약점 관리 ▲SBOM 관리가 필요하다고 설명했다.
구체적으로 그는 “오픈소스 관리 책임을 맡을 조직을 구성하고, 정책을 문서화하며, ISO/IEC5230·ISO/IEC DIS 18974 등 국제표준을 준수하면서 실행 가능한 절차를 만들어야 한다. 그리고 필요한 도구 사용과 사용자 교육, 보안 수준 유지를 위한 노력과 표준 준수 사항을 오픈소스 정책에 포함시키거나 외부 웹에 공지해야 한다”고 권고했다.
AI 이용 AST 분석 효율화
소프트웨어 공급망 보안의 첫번째는 안전한 소프트웨어를 개발하는 것이다. 오픈소스 취약점 점검과 관리는 그 일부의 영역이며, SAST, DAST 등의 AST 도구를 함께 사용해 개발 중, 개발완료 후에도 일관된 보안점검이 이뤄질 수 있어야 한다.
AST 시장의 글로벌 리더인 체크막스는 ‘체크막스 원’ 플랫폼에 SAST, SCA, IaC 보안 ‘KICS’, 공급망 보안(SCS), API 보안, 컨테이너 보안, 개발자를 위한보안 교육 ‘코드베이싱(CodeBashing)’을 통합 제공한다. 모든 모듈에서 검출된 취약점을 연계분석해 소프트웨어 라이프사이클 전반에서 위협을 완화할 수 있게 하며, 자동화된 교정 기능으로 개발 속도를 유지하면서 보안 문제도 해결할 수 있게 한다. SCA에서 SBOM을 자동생성해 공급망 보안을 위한 미국 사이버보안 행정명령을 이행할 수 있게 한다. 체크막스 SCA는 오픈소스뿐만 아니라 그 안에 포함된 패키지와 종속성까지 분석한다.
체크막스는 AST 솔루션 기업 중 가장 많은 언어를 지원하며, 인텔리전스 서비스를 제공해 악성 패키지 정보를 빠르게 파악해 제거할 수 있도록 한다. 체크막스 원 사용자에게 생성형 AI를 이용해 SAST를 효율화하는 ‘SAST 용 AI 쿼리 빌더’도 제공, 앱섹(AppSec) 팀이 AI를 이용해 새로운 사용자 정의 쿼리를 자동으로 생성하거나 기존 쿼리를 수정할 수 있게 한다.
전문 리서치 팀을 운영하면서 공급망 공격 그룹과 오픈소스 리포지토리의 악성코드를 분석해 현재 진행되는 공격자들의 동향과 취약한 오픈소스 패키지지를 알려주고 있다.
송대근 체크막스 지사장은 “최근 데브옵스는 개발자가 운영하고 있으며, 개발자들은 보안이 매우 중요하다는 사실을 잘 알고 있다. 그래서 체크막스 AST 도구를 사용해 보고 실제 도입까지 이뤄지는 사례가 많다”며 “체크막스는 사용이 쉽고 커스텀 코드 작성이나 API 연동이 용이하고, 데브옵스에 수월하게 통합돼 기존 개발 환경의 큰 변화 없이 사용할 수 있어 호응을 받고 있다”고 말했다.
SW 공급망 공격은 취약점이 공개되고 패치되기 전까지 가장 집중적으로 일어난다. 따라서 소프트웨어 구성 요소에서 취약점을 빠르게 파악하고 패치하는 것이 매우 중요하다. 체크막스는 SCA 솔루션을 통해 취약점 패치를 정확하게 수행할 수 있게 하며, 자동으로 SBOM을 생성해 SW 공급망 공격 피해를 예방할 수 있게 한다.
