SW 공급망 보안 기능, 소나타입만 만점 받아
[데이터넷] 소프트웨어 공급망 보안을 위해 소프트웨어 자재 명세(SBOM)가 필수로 꼽히지만, 타사 SBOM 수집·분석도구는 극히 소수에 불과한 것으로 나타났다.
시장조사기업 포레스터의 ‘포레스터웨이브: 소프트웨어 구성 분석, 2023년 2분기’ 보고서에서 소프트웨어 구성 분석(SCA) 기업에서 제공하는 SBOM 관리 수준을 평가한 결과, 5.0 만점을 받은 기업은 시높시스와 리베네라 뿐이었다.
그러나 SBOM 만으로 공급망을 보호할 수 없다는 점을 고려했을 때, 소프트웨어 공급망 보호 분야에서 5.0 만점을 받은 소나타입에 주목할 필요가 있다. 소나타입은 이 보고서에서 시높시스를 제치고 1위에 올랐다. 소나타입은 2021년 보고서에서 리더 아래 단계인 강력한 성과자(Strong Performers)에 자리했으며, 2년만에 업계 1위로 성큼 뛰어올랐다. 공급망 보호 항목에서 시높시스는 3.6점에 그쳤다.
이 보고서에서는 소나타입이 제품 라이프사이클 전반에 걸쳐 오픈 소스 라이브러리를 관리하고 보호해 모든 라이브러리와 공급망을 보호할 수 있다고 평가했다. 넥서스 리포지토리를 관리하는 소나타입은 리포지토리 방화벽 기능을 제공해 악성 패키지가 리포지토리에 저장되지 않도록 선제 차단한다.
보고서에서는 소나타입을 도입한 고객이 “소나타입은 함께 일한 최고의 벤더 중 하나다. 고객을 이해하고 고객을 행복하게 만드는 데 관심이 있다”고 평가했다고 밝히면서 고객과의 관계가 매우 친밀하다고 설명했다.
오랫동안 SCA 시장의 리더였던 시높시스 ‘블랙덕’은 강력한 정책 엔진을 적용해 높은 보안 기능을 제공하고 있으며, 저렴한 비용으로 파이프라인에 통합된 오픈소스 취약성 탐지를 지원한다. 블랙덕 제품 사용 고객은 ‘회사 정책 활성화’가 용이하다는 점을 강점으로 꼽았으며, SBOM을 통한 취약성 탐지 개선을 지원할 수 있다.
이번 보고서에서 리더 자리를 지킨 또 다른 벤더 스닉은 개발자 우선 접근방식을 적용해 개발자엑 친화적인 SCA를 제공한다는 평가를 받았다. 특히 개발자가 과거 취약점의 대규모 백로그를 수정하는데 도움이 되는 기능을 제공하며, 문제해결 옵션과 수정사항 자동화, 맞춤형 패치 등을 지원할 수 있다고 평가했다. 한편 스닉은 2021년 포스ID를 인수하면서 라이선스 관리 기능을 통합 제공할 수 있게 됐다.
코드베이스 78% 오픈소스
한편 이 보고서에서는 사용중인 코드베이스의 78%가 오픈소스이며, 이로 인한 보안위협이 높아지고 있다는 점을 지적했다. 그래서 SCA를 사용해 오픈소스와 타사 라이브러리의 보안과 라이선스 가시성을 확보하고 위협을 완화하며 소프트웨어 공급망을 보호해야 한다고 설명했다.
SCA를 도입할 때 개발자가 개발자가 취약성을 수정하고 라이브러리를 최신 상태로 유지할 수 있게 관리하는 솔루션이 필요하다고 보고서는 설명했다. 코드이 보안 심각도, 악용 가능성, 취약한 메서드 호출 등 공격으로 이어질 가능성 등을 SCA가 파악하고, 위험 수준에 따른 우선순위를 지정해 개발 환경에 영향 없이 관리할 수 있어야 한다.
소스코드 스니펫 감지와 기여도 보고, 비공개 소스 라이선스 감지, 법적 승인을 위한 워크플로우 등 라이선스와 컴플라이언스 관리가 가능해야 하며, 리포지토리 전체에서 종속성 혼동, 타이포스쿼팅 등의 문제까지 확인할 수 있어야 한다. SBOM 자동 생성과 변화 추적, 파이프라인 통합 보안으로 공격에 노출될 가능성을 줄여야 한다.
