[보안칼럼]SW 공급망 보안과 사이버 하이진

[보안칼럼]SW 공급망 보안과 사이버 하이진

공급망은 고객에게 제품이나 서비스를 생산하고 제공하는 데 필요한 광범위한 구조와 과정을 의미한다. SW 공급망은 애플리케이션 또는 디지털 서비스의 개발 및 배포와 관련된 일련의 모든 과정을 뜻한다. SW 공급망의 모든 단계에는 잠재적 보안 위험성이 있다. 각 단계에서 취약점이 공격을 받으면 공급망 전체, 나아가 다른 공급망에까지 영향을 미친다.

일반 애플리케이션에는 평균 118개의 프로그래밍 '라이브러리' 또는 개발자가 작업 자동화에 사용할 수 있는 코드 모음이 포함돼 있다. 애플리케이션은 평균 38%의 라이브러리가 사용된다. 패키지와 라이브러리에 있을 수 있는 취약점이나 버그 이슈 이외에도 해커가 비활성 라이브러리를 통해 라이브러리에 악성 코드 또는 맬웨어를 삽입할 수 있는 치명적 위협에 노출돼 있다.

공급망 보안의 중요성은 Log4J와 Open SSH 사례로 주목받았지만 이보다 앞서 2020년 솔라윈드 공격으로 공급망 공격에 이목이 집중된 바 있다. 2021년에는 버라이즌이 시스템의 60% 이상 침입되는 사건이 파트너 또는 SW 업데이트를 통해 발생됐다는 조사 결과를 발표하기도 했다. 2013년 개인정보 유출사고로 1850만달러의 합의금을 지불한 미국 대형 할인마트 '타깃'의 신용카드 유출 사건도 공급망 보안·하이진이 충분하지 않아 생긴 사례에 해당한다.

최근에는 오픈소스 사용이 대세로 되면서 공급망 보안·하이진이 더 중요한 이슈로 대두되고 있다. 사이버 하이진은 문자 그대로 사이버 위생으로 해석된다. 손을 씻듯 데이터 수집부터 탐지, 대응, 차단, 대응, 복구 등 보안 전반에 걸쳐 필요한 위생 습관이라고 생각하면 쉽다.

오픈소스는 숫자도 많지만 주체·출처·사용경로 등에 대한 가시화가 어렵기 때문에 갈수록 관리가 어려워지고 있다. 이는 곧 시간이 지날수록 공급망의 위험성이 커지고 있다는 의미다.

해커는 상대적으로 공격하기가 쉽고, 대비가 어려운 오픈소스 코드 저장소(Repository)와 기타 리소스에 악성코드를 심는다. 저장소에 오염된 패키지를 심으면 많은 사용자가 코드를 게시하고, 패키지는 다른 프로젝트에 통합된다. 통합된 프로젝트가 많아질수록 그 위협은 걷잡을 수 없이 전파된다.

SW 공급망의 보안 대비를 위해 최근 소프트웨어 자재명세서(SBOM) 솔루션이 강조되고 있다. SBOM은 소프트웨어에 포함된 세부 요소의 계층적 관계와 의존도 등을 보여 준다. 취약점 점검과 비용 절감 요소 등 세부 정보를 가시화한다. 사용한 오픈소스와 기타 구성 요소에 대한 취약점 대비를 애플리케이션 소프트웨어 단위로 파악하는 것이 아니라 세부 패키지·라이브러리 단위로 가시화, 위협에 대비한다. 사이버 하이진에서 강조하는 가시화가 중요한 이유는 소프트웨어 공급망의 복잡성으로 공급업체가 특정 시스템 및 자산은 물론 네트워크에 액세스하는 모든 장치 및 서비스에 대한 액세스 권한을 보유하고 있는지 명확하고 정확하게 파악하기 어렵기 때문이다. 조직은 포괄적 가시성을 확보함으로써 공급업체가 보안 위험 제거, 대처 등을 수행했는지 알아낼 수 있다. 공급망 보안에서 가시성을 지키는 사이버 하이진이 중요한 또 다른 이유는 '자산 환경과 접근 가능한 방법의 이해'와 관련이 있다. SBOM으로 자세한 소프트웨어 공급 구성 재료를 확보하는 것 자체가 가시화이며, 가시화는 사이버 하이진의 기본 요소다.

대다수 기업은 공격을 받기 이전까지 공급망이 얼마나 취약한지 제대로 파악하지 못한다. 그러나 정확한 취약점 스캔 기능을 통해 해커가 악용할 수 있는 잘못된 구성, 열악한 액세스 정책 및 제품 약점 같은 기본적인 보안 문제를 식별하고, 수정할 수 있다. 침투 테스트는 공격을 시뮬레이션해서 시스템의 취약점을 발견하고 악용함으로써 데이터가 얼마나 쉽게 도용되는지 확인하는 데 도움이 된다. 공급망 문제는 수요와 공급 불균형에서 유발되는 복잡한 문제이기 때문에 쉽게 해결할 수 없는 명제다. 하지만 SW 공급망 문제는 취약점 가시성 확보와 실제에 가까운 시뮬레이션을 통해 선제적 대응체계를 구축한다면 충분히 막아낼 수 있을 뿐만 아니라 다른 위협까지 효과적으로 대응할 수 있게 할 것이다.

남인우 태니엄코리아 전무 inwoo.nam@tanium.com