[아이티데일리] 모든 산업에서 소프트웨어(SW)의 중요성이 날로 커지는 가운데 SW의 개발과 운영이 오픈소스(Open Source)를 중심으로 이뤄지면서 오픈소스 보안에 대한 체계적 대책 마련이 중요 과제로 떠올랐다. 특히 2020년대 들어 오픈소스 취약점을 이용한 SW 공급망 공격으로 인해 대규모 피해가 발생하면서 어떤 SW에 어떤 취약점을 가진 오픈소스가 사용됐는지를 상세하게 파악해야 할 필요성이 높아졌다. 이러한 배경에서 최근 미국 정부가 SBOM(Software Bill of Materials, 소프트웨어 자재명세서)을 제작하고 제출할 것을 명문화하면서 오픈소스 보안과 SBOM에 대한 관심이 높은 상황이다. 관련 내용을 정리했다. 

SW 공급망 보안 중요성 높아져

오픈소스를 활용한 SW 개발이 보편화되면서 SW의 품질과 보안을 보장하기 위한 SW 공급망 관리의 중요성이 높아지고 있다. SW 공급망이란 SW의 생성, 배포, 그리고 유지보수 등과 관련한 일련의 활동과 프로세스를 말한다. SW 공급망에는 SW 구성요소의 소싱 및 개발에서부터 테스팅 및 품질 보증, 배포 등에 이르는 모든 과정이 포함되며, 이 과정을 관리하고 자동화하기 위한 시스템 및 도구까지 포함하는 ‘SW 공급망 관리’에 대해 점점 더 많은 기업 및 조직들이 그 중요성을 체감하고 있다. SW 공급망의 각 단계에서 취약점으로 인해 공격자로부터 악성코드가 심어지게 되면, 그 피해는 하나의 SW 개발사뿐만 아니라 해당 SW를 이용하는 고객사, 관계사에게까지 광범위하게 확대되기 때문이다.

최근 개발되는 현대적 애플리케이션은 오픈소스 코드 재사용의 집약체라 해도 과언이 아니라 할 수 있다. 한 조사에 따르면 하나의 SW에는 평균적으로 500개 이상의 오픈소스 라이브러리가 탑재되는 것으로 나타났다. 여기에 현대적 애플리케이션은 컨테이너 기술을 기반으로 기능별로 쪼개져 관리 및 실행되므로 개발자가 전체 구조를 파악하기 까다롭고 결과적으로 보안 측면에서도 생각지 못한 위험을 안게 된다.

물론 공개된 소스코드를 활용해 SW를 개발하므로 개발에 소요되는 기간과 비용을 줄일 수 있다는 커다란 장점이 있지만, 기업 및 조직이 적극적으로 주도하는 몇몇 오픈소스 이외에는 유지보수 측면에서 소홀한 경우가 많은 게 사실이다. 실제 한 조사에 따르면 오픈소스의 87%가 하나 이상의 취약점을 갖고 있는 것으로 나타났다.

이 때문에 자사의 SW가 보안 취약점을 보유한 오픈소스 컴포넌트(component)를 사용하고 있음에도, 개발자 또는 기업들이 오랜 기간 해당 사실을 인지하지 못하는 경우도 발생한다. 이런 측면에서 오픈소스는 SW 공급망을 노리는 사이버 공격의 취약점이자 시작점이 되고는 한다.

결론적으로 SW 공급망 보안을 강화하기 위해서는 SW 개발과 테스팅, 배포에 있어 모범 사례를 구축하려는 사전 예방적인 접근이 필요하다. 또한 개발한 SW의 취약성을 식별하고 위험을 최소화하는 것을 돕는 기술 및 도구(tool)를 활용할 수 있다. 특히 SW 공급망 보안 강화를 위해 최근 가장 주목받고 있는 것은 오픈소스 라이브러리와 프레임워크, 기타 구성 요소를 포함하는 SW 제품 전체 구성 요소에 대한 ‘소프트웨어 자재명세서(Software Bill of Materials, SBOM)’의 작성과 활용이다.

대규모 사이버 위협, SBOM 의무화 촉진

SBOM의 중요성이 최근 크게 높아진 것은 2020년대 들어 각종 대규모 사이버 위협이 발생하면서 경각심이 높아진 영향이 컸다. 2020년 말경 러시아 정보기관이 연관된 대규모 해커 집단이 솔라윈즈(SolarWinds)의 IT관리 플랫폼 ‘오리온(Orion)’을 해킹해 해당 플랫폼을 사용하던 전 세계 1만 8천여 정부 및 공공기관과 산업 인프라 기업, IT 기업 등이 악성 코드가 포함된 솔루션 업데이트 파일을 실행했다는 사실이 알려졌다. SW 공급망 보안의 중요성을 일깨운 이른바 ‘솔로리게이트(Solorigate)’ 사건이다. 2021년 여름에는 또 다른 IT관리 SW 업체인 카세야(Kaseya)가 랜섬웨어 유포에 이용되면서 수많은 기업들에게 피해를 입혔다. 이뿐만 아니라 2021년 말 IT 업계 전체에 큰 이슈가 됐던 아파치 로그포제이(Apache Log4j) 취약점 발견도 오픈소스 보안에 대한 경각심을 높이는 데 큰 역할을 했다.

이러한 사건들과 함께 SBOM은 유럽연합(EU)의 개인정보보호규정(General Data Protection Regulation, GDPR)이나 캘리포니아 소비자 개인정보보보호법(CCPA)와 같은 규정 및 법률을 준수하기 위한 목적으로도 그 중요성이 높아지고 있었다.

하지만 무엇보다 SBOM은 2021년 5월 미국 바이든 전부가 SW 공급망 보안 강화를 위해 ‘국가 사이버보안 개선에 관한 행정명령(EO-14028)’을 발표하면서 ‘정말로 매우 중요한’ 문제가 됐다. 미국 정부 공공조달 SW에 SBOM 제출을 의무화함으로써 조달 체계에 SW 공급망 보안을 강화하는 조치가 본격적으로 시행된 것이다. 이로써 SBOM은 이제 기업들이 ‘반드시 신경써야 할’ 문제가 됐다.

전 세계적으로 SBOM 관련 시장은 향후 몇 년간 크게 성장할 것으로 예상된다. 리서치 업체 마켓앤마켓에 따르면 글로벌 SBOM 시장은 2020년 14억 달러에서 2025년 44억 달러 규모로 성장할 전망이며, 이 기간 연평균성장률(CAGR)은 24.5%에 달할 것으로 예상된다. 미국 정부뿐만 아니라 유럽과 아시아까지 의료, 금융 등과 같은 다양한 산업 분야의 기업 및 조직이 SBOM을 작성, 관리하기 위해 관련 솔루션을 도입할 것으로 기대되고 있다.

SBOM으로 취약점 신속히 파악하고 조치

SBOM은 SW를 구성하고 있는 컴포넌트에 대한 메타정보를 목록화한 것이라고 간략히 설명할 수 있다. 좀 더 구체적으로는 SW 제품 개발을 위해 활용된 라이브러리, 프레임워크 및 기타 구성요소들에 대한 세부 목록과 함께 각 요소들이 어떤 관계를 갖고 있는지를 기술한 문서로, 기업 및 조직이 SW 제품의 취약성을 신속하게 파악하고 위험을 최소화할 수 있도록 도울 수 있다. 즉 SBOM을 활용하면 SW에 사용되는 모든 구성요소를 쉽게 식별하고 추적할 수 있으므로 보안 취약점을 빠르게 찾아내고 해결할 수 있다는 것이다.

또한 SBOM은 SW 개발자나 엔지니어들이 작업 중인 SW를 더욱 잘 이해하고, 향후 진행될 프로젝트에 사용할 컴포넌트와 라이브러리를 결정하는 데도 도움을 줄 수 있다는 장점도 있다. 무엇보다 알려진 취약점이 있는 컴포넌트를 사용하지 않도록 하는 것과, 조직의 정책과 호환되지 않는 라이선스를 사용하지 않도록 관리할 수도 있다는 것도 장점이다.

미국 정부는 국가표준기술연구소(NIST)에 SW 공급망 보안 강화 가이드라인을 작성해 공개하도록 했으며, 국가통신정보청(NTIA)에는 SBOM의 최소 요소를 정의하고 배포하도록 해 정책적 기준점도 마련했다. NTIA가 발표한 ‘SBOM의 최소 요소’를 살펴보면 △공급자명 △구성요소명 △구성요소 버전 △기타 고유 식별자 △종속성 관계 △SBOM 데이터 작성자 △타임스탬프 등을 포함하도록 하고 있다. 이와 함께 자동으로 식별이 가능하도록 △SBOM 생성을 위한 개방형 표준인 ‘SPDX(Software Package Data eXchange)’ △경량 SBOM 표준인 ‘OWASP 사이클론DX(OWASP CycloneDX)’ △국제표준화기구(ISO) 및 국제전기표준회의(IEC)가 개발한 XML 파일 형태의 ‘SW 식별 표준(SWID)’ 태그 등 3가지 표준 형식 중 하나를 반드시 따르도록 요구하고 있다. 여기에 신규 SW 버전마다 SBOM을 작성해 최신화하도록 했다.

이와 같은 표준을 사용한 SBOM을 활용하면 여러 개의 SW에 사용된 취약점이 있는 컴포넌트들을 일괄적으로 손쉽게 파악해 계속해서 사용하지 않도록 할 수 있으며, 이를 통해 SW 공급망 상의 위험들을 보다 효율적으로 관리할 수 있게 된다. 또한 SW 컴포넌트 간의 의존성이나 관계를 쉽게 파악하고 이해할 수 있으며, 복잡한 데이터 관련 규정들을 준수하는 데도 도움을 받을 수 있다. 이로써 SW 취약점을 발견하고 관리하는 데 들어가는 시간과 비용을 절약할 수 있으며, 실제 위협 상황이 발생했을 때 관련 내용을 보다 빠르게 회사 내부 및 관련 업계에 전파할 수 있다.

공급망 보안 및 SBOM 관련 솔루션 속속 등장

가트너에 따르면 2025년까지 전 세계 60%의 기업이 SW 공급망 보안 공격에 대비를 강화할 것으로 예상된다. 이러한 예상에 따라 보안 업계 역시 관련 솔루션들을 발 빠르게 출시하며 대응에 나서고 있다. 이러한 움직임은 글로벌 보안 기업들뿐만 아니라 국내 보안 기업들 역시 마찬가지다. 특히 기존 보안 테스팅 솔루션이나 SW 구성 분석(Software Composition Analysis, SCA) 솔루션, 오픈소스 보안 점검 솔루션 등이 SBOM 생성 기능을 빠르게 지원하면서 기업들에게 필요성을 강조하고 있다.

국내에서도 이미 2022년 초에 한국정보보호산업협회(KISIA) 이동범 회장이 “바이든 행정부가 발동한 ‘사이버보안을 위한 행정명령’을 주목하고 따라야 한다”고 ‘정보보안 리더의 밤’ 행사 자리에서 강조한 바 있으며, 지난해 10월 26일에는 과학기술정보통신부와 한국인터넷진흥원(KISA)이 ‘제로트러스트·공급망 보안 포럼 발족식’을 개최하는 등 대응 움직임이 본격화되고 있다. 특히 보안 기업들은 발 빠르게 국내 시장에 SBOM 솔루션을 내놓으며 시장을 선점하고자 마케팅과 영업을 강화하고 있다.

애플리케이션 보안 테스팅 솔루션 기업 체크막스(Checkmarx)는 지난해 5월 ‘체크막스 공급망 보안(Checkmarx Supply Chain Security)’ 솔루션을 출시하고 이를 국내에 소개했다. ‘체크막스 공급망 보안’ 솔루션은 ‘체크막스 SCA(Checkmarx SCA)’ 솔루션과 함께 동작하면서 오픈소스의 건전성과 보안 이상 징후를 파악하고, 오픈소스 기여자의 평판(contributor reputation)을 분석한다. 또한 ‘디토네이션 챔버(detonation chamber)’ 내 분석을 통해 패키지 행태를 분석하고 정보를 직접 확보하는 등 SW 공급망 전 영역에 걸친 분석을 통한 인사이트를 제공함으로써 애플리케이션 보안상의 취약점을 해소할 수 있도록 돕는다. 특히 ‘체크막스 공급망 보안 솔루션’을 통해 기업들이 △패키지의 건전성과 SBOM △악성 패키지 탐지 △기여자 평판 △행위 분석 △지속적 결과 처리 등의 필수 역량들을 이용함으로써 오픈소스 SW를 안전하게 활용하고 모던 애플리케이션 개발을 가속화할 수 있다는 게 회사 측 설명이다.

국내에서는 파수(Fasoo)의 자회사인 스패로우(Sparrow)가 SBOM과 관련해 가장 발 빠른 행보를 보인 것으로 파악된다. 오픈소스 라이선스 식별 및 보안 취약점 관리 도구인 ‘스패로우 SCA(Sparrow Software Composition Analysis)’에 SBOM 내보내기 기능을 적용, 손쉽게 SW 구성요소를 파악할 수 있도록 지원에 나선 것이다. 사용자가 ‘스패로우 SCA’로 파일을 분석한 후에 ‘SBOM 내보내기’ 버튼을 클릭하기만 하면 컴포넌트 명칭과 버전 정보, 공급자 명칭 등을 한눈에 확인할 수 있다는 게 회사 측 설명이다.

SBOM 기능 적용에 대해 스패로우 장일수 대표는 “애플리케이션 보안 테스팅 시장에서 10년 이상 축적된 보안 취약점 검출 기술력과 노하우를 이제 오픈소스 분야에도 적용해 국내외 기업들의 공급망 위험을 해결하고자 노력하고 있다”면서 “SBOM 기능이 적용된 스패로우 SCA를 활용함으로써 SW 개발 과정에서뿐만 아니라 배포 이후에도 복잡다단한 공급망 내에서 보안을 지속적으로 관리할 수 있을 것”이라고 밝혔다.

팔로알토네트웍스는 지난해 10월 맥락(context) 인지형 SCA 솔루션을 출시하고, 클라우드 네이티브 애플리케이션 보안 플랫폼(CNAPP) ‘프리즈마 클라우드(Prisma Cloud)’에 통합해 SCA 기능을 제공한다고 발표했다. 이와 함께 개발자가 클라우드 환경에서 사용되는 모든 애플리케이션 구성요소의 전체 코드베이스 인벤토리를 쉽게 유지하고 참조할 수 있도록 SBOM을 도입했다고 덧붙였다. 이에 대해 팔로알토네트웍스코리아 이희만 대표는 “SCA를 통합한 프리즈마 클라우드를 통해 개발자들은 안전성을 담보한 채 오픈소스 SW를 활용해 애플리케이션을 개발할 수 있게 됐다”면서 “런타임 환경을 보호하는 동시에 애플리케이션 개발 프로세스에도 보안을 탑재하는 시프트-레프트 보안 관행의 필요성이 높아지고 있다. 이를 위해서는 특정 보안 제품에 대한 의존 대신 연속적인 보안 프로세스를 확보하는 데 집중해야 한다”고 밝혔다.

통합 엔트포인트 관리(XEM) 솔루션 업체인 태니엄(Tanium)도 지난해 11월 ‘태니엄 SBOM’이라는 이름의 솔루션을 출시, 공급망 위협 대응 대열에 합류했다. 회사 측 설명에 따르면 ‘태니엄 SBOM’은 우선 개별 자산에 구축돼있는 SW를 중점으로 라이브러리와 알려진 취약점이 있는 SW 패키지를 탐지하고, IT 환경의 모든 위치에 있는 개별 파일의 내용을 검사한다. 이는 기본적인 검색 툴을 넘어서는 새로운 접근 방식이라는 게 회사 측 설명이다.

클라우드 네이티브 보안 업체 아쿠아시큐리티(Aqua Security)도 지난해 11월 ‘SW 공급망 보안(Software Supply Chain Security)’ 솔루션을 선보이며 미국 정부의 행정명령(EO)을 손쉽게 준수하고 증명하도록 지원한다고 발표했다. 해당 솔루션은 구축 한 달 내에 기업이 준수 요건을 완수하도록 도우며, 초기는 물론 지속적인 준수 증명을 위한 리포팅 및 관리 역량까지 제공한다고 소개됐다.

국내 보안 기업인 쿤텍은 이스라엘의 자동차 사이버 보안 위험 평가 솔루션 기업인 ‘사이벨리움(Cybellum)’의 바이너리 분석 도구를 국내에 공급, 이를 통해 SBOM 생성 및 공급망 보안 안정성 강화를 지원한다고 발표했다. 회사명과 같은 ‘사이벨리움’ 솔루션은 별도의 에이전트 없이 웹 UI를 통해 바이너리 분석 및 빠르고 정확한 SBOM 생성이 가능하다. 또한 각 구성 요소와 관련된 알려진 취약점, 정보 유출, OS 구성 오류 등 다양한 사이버보안 위험을 실시간으로 모니터링한다. 이를 통해 정적 분석 기법만으로 탐지할 수 없었던 바이너리 보안 약점까지 관리할 수 있다.

이와 함께 SBOM을 토대로 오픈소스 라이선스를 점검해 현재 사용되고 있는 라이선스에 대한 준수 가이드라인을 제공함으로써 안전한 오픈소스 사용을 지원한다. 쿤텍은 KB국민은행에 ‘사이벨리움’ 솔루션을 공급했다. 쿤텍은 사이벨리움 솔루션 외에 오픈소스 보안 자동 점검 솔루션인 ‘멘드(MEND)’도 국내에 공급하고 있다.

KB국민은행 정보보안부 김기웅 차장은 사이벨리움 도입 이유에 대해 “공급망 공격에 대응하기 위해서는 소프트웨어 공급망의 구성 요소 식별을 기반으로 취약점을 관리할 수 있는 방안을 마련하는 것이 중요하지만 소스코드 분석만으로는 완전한 가시성 확보와 취약점 점검이 어렵다는 한계가 있었다”면서 “쿤텍의 사이벨리움은 바이너리 분석을 통한 SBOM 생성 및 관리가 가능해 복잡하고 방대한 공급망에 대한 가시성 확보에 뛰어나다. 또한 다양한 유형의 보안 취약점에 대한 지속적인 자동 탐지 및 분석 기능을 제공하고, 탐지된 취약점 항목에 대한 상세 정보 및 조치 이력 관리 기능 등을 제공한다는 점에서 공급망 공격 대응을 위한 선제적인 점검 체계 마련에 최적화된 도구다”라고 밝혔다.