SBOM 필수지만 충분하지 않아…SW 개발·테스트·배포·운영 전 과정 보호 기술 필요
[데이터넷] 2022년 5월부터 2023년 4월까지 12개월간 미국 기업의 61%가 소프트웨어 공급망 공격의 직접적인 영향을 받은 것으로 나타났다. 가트너는 이 같은 연구결과를 발표하면서 “소프트웨어 공급망 공격은 급격히 증가하는 글로벌 과제다. 그런데 소프트웨어 공급망 위험을 식별, 평가 및 완화하려는 사전적 노력은 더딘 상황”이라고 지적했다.
체크막스 “지난해 발견한 악성 패키지, CVE 6배”
복잡한 소프트웨어 공급망을 이용하는 공격은 공격에 들이는 시간과 비용에 비해 공격으로 인한 효과가 매우 커 공격자의 수익을 극대화할 수 있는 방법으로 이용되고 있다. 특히 오픈소스 사용이 늘어나면서 공급망 취약성을 악용하기 쉬워지면서 공격빈도가 더 높아지고 있다.
체크막스 조사에 따르면 월 평균 70만개 이상 오픈소스 기반 패키지가 배포되고 있는데, 지난 한 해 동안 체크막스가 발견한 악성 패키지는 무려 15만878개로, 이 해 공개된 CVE 취약점 2만5226개보다 6배 많은 수준이다.
소프트웨어 공급망 공격이 급격히 증가하고 있지만, 소프트웨어 개발사와 유통기업, 사용기업조차 이에 충분히 대응하지 못하고 있다. 소나타입 보고서에서는 전 세계 개발자 7%만이 공급망 보안위협을 검토하는 것으로 나타났다. 더불어 오픈소스 패키지 취약점을 검사하면서 종속성에 대한 취약성은 점검하지 않아 공급망 공격을 제어하지 못하고 있다.
소프트웨어 공급망 위협이 높아지면서 안전한 소프트웨어 공급을 강제하는 규제가 마련되고 있다. 미국 사이버보안 행정명령 EO 14028에서 소프트웨어 자재 명세(SBOM) 제출 의무화를 명시했으며, 미국 식품의약국(FDA)은 의료기기 제조업체에 공급망 요구 사항을 부과하는 규정을 시행하고 있다. UN 기관은 차량 소프트웨어 보안 등 보안 요구사항을 수립하고 있다.
미국 NIST의 800-218에서는 안전한 소프트웨어 개발 프레임워크(SSDF)를 공개하면서 소프트웨어 사용 조직의 보안을 강화할 것을 권고하고 있으며, 미국 연방정부에 공급하는 소프트웨어는 SSDF를 준수하고 있다는 것을 증명해야 한다. SSDF에는 인력, 프로세스, 기술이 안전한 소프트웨어 개발을 위한 준비가 되어 있다는 것과 소프트웨어 무단 액세스·변조 방지와 배포 무결성 검증 등을 입증할 수 있어야 한다.
SBOM 무결성 검증 필수
소프트웨어 공급망 보호를 위해 가장 중요하게 여겨지는 것이 SBOM인데, 가트너는 2026년까지 미션 크리티컬 소프트웨어 조달 조직의 60% 이상이 SBOM을 의무화할 것으로 내다봤다. 우리나라에서도 SBOM의 필요성이 강조되면서 공공기관 SBOM 의무화로 정책 방향이 잡힐 것으로 예상되고 있으며, KISIA를 중심으로 소프트웨어 기업이 SBOM 의무화 적용 국가로 수출할 때, 이를 지원하는 정책이 마련되어야 한다는 주장이 높아지고 있다.
그런데 SBOM은 소프트웨어 공급망 보안의 전부가 아니며, 실제로 SBOM을 운영하는 것이 매우 복잡하고 어렵다. SBOM을 생성하는데 사용되는 주요 형식은 리눅스 재단 후원 프로젝트 SPDX와 OWASP의 사이클론DX(CycloneDX)이 있는데, 이 형식을 지킨다고 해서 SBOM을 안전하게 운영하는 것도 아니다. SBOM에 포함되는 정보를 라이선스가 있는 요소로만 제한할 것인지, 종속성이나 하드웨어 펌웨어 소프트웨어 구성요소, SaaS 구성요소 등 다양한 문제에 대한 내용도 고민해야 한다.
SBOM 요청 시 필요한 프로세스와 인증과 액세스 제어도 필요하며, SBOM이 생성한 결과물이 정확한지, 현재 운영중인 애플리케이션의 모든 구성요소와 취약성, 잠재적인 공급망 위험을 파악하고 있는지도 확인해야 한다.
SW 공급망 보호 전략, 벤더 리스크 관리도 포함시켜야
조직이 사용하는 소프트웨어는 수시로 바뀌기 때문에 소프트웨어 공급업체가 제공하는 SBOM 만으로는 공급망 보안을 검증하기 어렵다. 그래서 사용기업이 직접 SBOM의 유효성을 검사하거나, 자체 SBOM을 생성하려는 경우도 있다. 이러한 기업은 공급업체가 제공한 소프트웨어를 확인하고 분석할 수 있는 도구와 운영위험에 대한 분석이 필요하다.
소프트웨어 공급망 보호를 위해서는 SBOM 뿐만 아니라 벤더 리스크 관리와 전용 테스트, 보안 평가가 반드시 병행되어야 한다. 소프트웨어 개발, 테스트, 배포 과정에서의 보안 테스트, 운영중 소프트웨어에 대한 침투테스트도 필수이며, 특히 오픈소스 패키지의 보안 취약점 점검을 반드시 거쳐야 한다.
가트너는 “소프트웨어에 대한 투명성이 부족하기 때문에 알려지지 않은 위협까지 관리할 수 있는 소프트웨어 전반의 보안 정책이 필요하다. 더불어 공급받은 소프트웨어 라이선스에 맞춰 테스트를 수행할 수 있도록 법률 조언을 받는 것도 고려해야 한다”고 설명했다.
