운영중 시스템 취약점 점검으로 새로운 취약점·공급망 위협 제거
[데이터넷] 소프트웨어 공급망이 공격자들의 중요한 먹잇감이 되고 있다. 복잡한 공급망의 한 지점만 침투하면 공급망에 연결된 모든 조직을 공격할 수 있기 때문이다. 보안에 소홀한 SW 개발사, 깃허브와 같은 코드 저장소, 오픈소스 취약점 등은 공급망 공격에 매우 취약하다. 대형 글로벌 기업의 코드서명 인증서가 탈취도 공격에 악용되고 있기도 하다. 소프트웨어 공급망 공격 동향을 분석하고, 필요한 대안을 제안한다.<편집자>
시프트 레프트 필수지만 충분하지 않아
앞서 살펴본 소프트웨어 공급망 보호 기술은 대부분 개발, 배포 과정에 초점을 맞추고 있다. 안전한 애플리케이션 배포를 위해 보안을 왼쪽으로(Shift-Left) 이동하고, 취약점과 구성오류를 점검한다. 잠재된 위협을 선제적으로 제거해 공격받을 가능성을 줄이는 것이 시프트 레프트의 목적이다. 그러나 시프트 레프트가 공급망 전체의 보안을 보장하지 못한다. 안전하게 개발된 소프트웨어가 유통 중, 구축 중, 운영 중 새로운 취약점에 노출될 수 있고, 개발·배포 과정에서 탐지되지 않았거나 위협 수준이 낮아 제거되지 않았던 오류가 심각한 문제를 발생시킬 수 있다.
소프트웨어 개발기업 입장에서는 보안 투자가 추가되어야 하며, 이로 인한 개발 시간 지연도 문제다. 개발과 보안을 모두 이해하는 전문가를 채용해야하는데, 기업 상황에 맞는 전문가를 찾는 것도 쉬운 일이 아니다. 인력과 예산이 충분하지 않은 소기업은 이러한 요구를 모두 수용할 수 없어 경쟁에서 뒤쳐질 수밖에 없으며, 혁신 아이디어를 가진 스타트업의 성장에도 제약을 받을 수 있다.
이러한 문제가 있다고 해서 시프트 레프트 보안을 포기해야 한다는 주장은 어불성설이다. 공격은 어디서나 일어날 수 있다. 공급망 공격자들은 가장 약한 보안고리를 이용하기 때문에 보안이 잘 준비되지 않은 소프트웨어가 공격자의 도구로 활용된다. 취약점이 있는 소프트웨어로 인해 대규모 공급망 공격이 발생했다면 취약한 소프트웨어를 공급한 개발사의 책임을 묻지 않을 수 없다.
서비스 적용 전 코드 무결성 검증 필수
나아가 개발사가 안전하게 소프트웨어를 개발했는지 수요기업에서 직접 확인하는 과정도 필요하다. 개발사가 의도를 갖고 악성코드를 삽입했을 수도 있고, 감염된지 모르고 공급했을 수 있으며, 개발 단계에서 발견하지 못한 취약점이 있을 수도 있다.
그래서 외부에서 공급방은 소프트웨어를 서비스에 적용하기 전에 점검해보는 제로 트러스트 관점의 소프트웨어 공급망 보안 방안이 필요하다. 소프트캠프와 엔키의 합작법인 레드펜소프트가 제공하는 ‘엑스스캔(XSCAN)’은 외주 개발사, 오픈소스 등 외부에서 가져온 코드에 잠재된 취약점이 있는지 확인해주는 서비스를 제공한다. 업데이트 파일 등이 이전 버전과 어떤 차이가 있으며, 위험한 행동이 나타날 가능성이 없는지 분석해 이상징후가 있을 때 개발사에 소명을 요청하거나, 해당 위협을 제거/완화하는 조치를 취한다. 필요 시 엔키의 화이트해커가 직접 코드를 분석해 위험도를 파악한다.
레드펜소프트는 엑스스캔에 챗GPT를 적용해 엑스스캔이 점검한 내용에 대한 의견을 묻거나 발견된 취약성의 영향도, 해당 취약성이 있는 다른 코드 등을 찾아 효과적으로 대응할 수 있게 한다. 레드펜소프트는 향후 바드 등 다른 생성형 AI 기반 서비스도 지원할 수 있게 해 고객이 원하는 AI 서비스를 활용할 수 있게 할 계획이다.
레드펜소프트 대표를 겸하고 있는 배환국 소프트캠프 대표는 “소프트웨어 공급망 보안은 제로 트러스트 원칙이 반드시 필요한 분야다. 개발 단계부터 모든 코드를 신뢰하지 않고 점검해야 할 뿐만 아니라, 실제 운영 서비스에 적용할 때에도 위험성이 있는지 확인해야 한다. 실제 취약점 영향으로 인한 피해는 개발사보다 서비스를 운영하는 기업이 더 치명적이기 때문”이라며 “엑스스캔은 스패로우와 공급망 보안 실증사업을 진행하면서 소프트웨어 개발부터 운영까지 전체 보안 수준을 개선할 수 있는지 확인하고 있다. 실증사업이 완료되면 한층 개선된 공급망 보안을 제공할 수 있게 될 것”이라고 말했다.
현재 엑스스캔은 정식 사용 가능하며, 올해는 무상으로 제공한다.
운영 중 공급망 공격 차단 기술 필수
공급망 공격은 운영 시스템에서 발생한다. 안전한 소프트웨어를 공급받았다 해도 운영 과정에서 새롭게 발견되는 취약점은 개발사에서 해결하지 못한다. 로그포제이 취약점이 심각한 문제가 됐을 때 기업·기관이 어려움을 겪었던 것은 해당 취약점의 영향을 받는 시스템이 무엇인지 알지 못한다는 것이었다. 로그포제이는 거의 대부분의 웹에서 사용되기 때문에 기본 패킹돼 파일에 포함된다. 이 파일이 다시 패킹돼 애플리케이션에 적용되는 경우가 많아 일반 스캐너로는 취약한 로그포제이를 찾지 못한다.
운영 환경에서 취약한 코드를 찾는 것은 모래사장에서 바늘 찾는 것처럼 어렵다. SBOM을 공급받았다 해도 SBOM이 최신성을 유지하지 못한다면 별 소용없다. SBOM에 누락돼있다면 찾을 수 없으며, 많은 소프트웨어 기업이 제공한 SBOM들을 일일이 검색해 취약성 영향을 받는 코드를 찾는 것도 간단한 일은 아니다. 소프트웨어 기업들이 SBOM을 제공했다 해도 구축 과정에서 코드와 구성 변경이 SBOM에 반영되지 않으면 무용지물이다.
강두원 태니엄코리아 부장은 “로그포제이 취약점 문제가 발생했을 때 기업·기관의 56%가 벤더에 문의했으며, 취약점 영향받는 시스템을 파악하는데 2주~4주 소요된 것으로 나타났다. 로그포제이 취약점 제거를 위해 많은 노력을 했음에도 불구하고 이 취약점을 완벽하게 해결하지 못했으며, 1년이 지난 시점에도 여전히 취약점에 노출된 수많은 서버가 발견됐다”며 “소프트웨어 공급망 위협으로부터 조직을 보호하기 위해서는 운영중인 모든 소프트웨어 구성요소를 파악하고, 새로운 취약점이 발표됐을 때 소프트웨어 개발사와 벤더에 의지하지 않고, 기업이 직접 빠르게 찾을 수 있어야 한다”고 설명했다.
태니엄 XEM 플랫폼에 포함된 SBOM은 운영중인 시스템의 애플리케이션에 취약점 영향이 있는 코드를 신속하게 찾아 제거할 수 있도록 도와준다. 태니엄 XEM은 차별화된 리니어체인 아키텍처를 채택해 수십만대의 엔드포인트도 실시간에 가깝게 식별하고 패킹·패키징·압축된 파일에서도 취약점을 찾을 수 있으며, 탁월한 위협 헌팅 기술로 제로데이 공격을 식별하고 억제할 수 있다.
모든 종류의 엔드포인트를 실시간으로 식별하고 엔드포인트의 종류와 OS·소프트웨어 버전을 확인하며, 보안과 운영관리의 문제를 진단하고 해결한다. 자산 식별·평가, 클라이언트 관리, 리스크·컴플라이언스 관리, 민감 데이터 모니터링, 위협 헌팅 등 다양한 기능을 제공한다. 모든 기능은 모듈로 제공해 필요에 따라 추가, 삭제가 가능하며, 단일 에이전트를 통해 가시성부터 오케스트레이션, 위협 대응까지 지원하고, API를 이용해 서드파티와 통합될 수 있다.
박주일 태니엄코리아 지사장은 “태니엄 한국 진출 3년동안 여러 의미 있는 성과를 거뒀으며, 시장 인지도도 크게 높였다. 태니엄은 고객의 엔드포인트 보안·관리 문제를 해결할 수 있는 많은 기술을 추가하면서 고객의 비즈니스 성장을 돕고 있다”고 밝혔다.
