공개 SW의 활용 및 보안취약점 현황 분석
주요 SW 공급망 공격 유형과 대응책
[보안뉴스 김경애 기자] SW 공급망 공격 위협이 점점 더 증가하고 있다. 주요 SW 공급망 공격 유형은 △공개 SW 보안취약점 △타사 의존성 △공용 리포지토리 △변환 시스템 △업데이트 가로채기 △내부 리포지토리 △공급사 및 협력사 타깃 등이다. 따라서 기업과 기관에서는 이러한 SW 공급망 공격에 대해 각별한 주의와 함께 철저한 대응이 요구된다.
[이미지=gettyimagesbank]
1. 주요 SW 공급망 공격 유형
①공개 SW 보안취약점(Vulnerabilities in OSS)
공개 SW에 취약한 코드 또는 유해한 구성요소가 포함되어 취약성이 공개 SW를 사용하는 모든 SW에 전파될 수 있다.
②타사 의존성(3rd Party Dependencies)
공격자가 타사 SW(상용 SDK, 라이브러리 또는 컴포넌트13)에 악성코드를 삽입해 이를 악용하는 운영 시스템을 침해할 수 있다.
③공용 리포지토리(Public Repositories)
공개 SW 코드를 찾는 개발자를 목표로 깃허브(GitHub) 등 알려진 리포지토리 호스팅 서비스에 합법적인 SW 패키지와 유사한 이름을 가진 악성코드를 업로드할 수 있다.
④변환 시스템(Build Systems)
개발 프로세스 자동화를 위한 CI/CD 상의 중요 코드, 리포지토리, 컨테이너 및 변환 서버를 침해해 악성코드로 교체할 수 있는 위험이 있다.
⑤업데이트 가로채기(Hijacking Updates)
공격자가 SW 업데이트 과정을 침해하거나 업데이트 서버의 관리 권한을 가로채어 악성코드를 삽입할 수 있는 위험성이 존재한다.
⑥내부 리포지토리(Private Repositories)
공격자가 기업 내부에서 사용 중인 코드 저장소에 침입하여 악성코드를 삽입할 수 있어 위험하다.
⑦공급사 및 협력사(Suppliers and Business Partners)
SW 부품 또는 완제품 개발사, 공급사 등으로부터 외부 서비스를 제공받는 경우 관리되지 않는 타사 위험(Risk)이 내부 시스템으로 전이될 수 있다.
2. SW공급망 공격 대응방안 SBOM
이러한 보안 위협에 따라 SW 공급망 보안이 갈수록 중요해지고 있다. 특히 SW 전체의 구성요소를 목록화한 SBOM이 대응방안으로 주목받고 있다.
미국 NTIA는 SBOM을 ‘SW 재료의 목록’, 즉 SW 구축에 사용되는 다양한 구성요소의 세부사항과 공급망 관계를 포함하는 공식적인 기록으로 정의하고 있다. SW 구성요소의 투명성 강화 방안으로 SBOM의 최소 요건을 제시하고 있는데, 각 기업(기관)의 사용 목적에 부합하도록 SBOM에 포함돼야 하는 항목을 추가·수정해 활용할 수 있다.
과학기술정보통신부가 발간한 ‘SW 공급망 보안 가이드라인 v1.0(이하 가이드라인)’에 따르면 ‘SBOM 기반 SW 공급망 강화 방안’은 외부 SW 또는 자체 개발 SW는 다양한 공개 SW를 포함할 수 있다. SBOM 기반 SW 공급망 보안관리 체계를 통해 보안 취약점 등 공개 SW 활용에 따른 위험에 대응할 수 있다.
①개발사
개발사는 SW 개발 생명주기 전반에 걸친 SW 위험관리를 위해 기초 데이터가 되는 SBOM 생성을 위한 필수 설비를 구축·활용할 수 있다. SBOM 기반의 SW 공급망 보안을 위한 기초 설비는 SBOM 도구(공개 SW 및 상용 도구), SW 구성요소 저장소, SBOM 데이터베이스(DB), SW 위험 평가 및 관리를 위한 자체 보안취약점 DB 및 NVD 연계 등이다. 이와 같은 SBOM 기초 설비를 바탕으로 SW 공급사, 운영사에 대한 SW 구성요소 자산 파악과 보안패치 등을 통해 사이버보안 위협에 선대적 대응과 신속한 사후 대응도 가능하다.
②공급사 및 운영사
공급사와 운영사는 개발사 → 공급(유통)사 → 운영사로 이어지는 SW 공급망에 대한 SBOM 유통 체계를 구축할 수 있다. 가이드라인에서는 공공기관과 협단체 등에 ‘산업별 SW 공급망 거점’을 구축하고, 다수의 공급망 생태계에 검증된 정보를 제공하는 게 이상적인 체계라고 설명하고 있다.
3. SBOM 기반 SW 공급망 보안 발전 방안
정부는 민간 전문가들의 의견을 수렴해 SBOM 기반의 SW 공급망 보안 발전 방안으로 △개발기업의 SW 투명성 확보 지원 △SBOM과 SW 공급망 보안에 대한 적극적 투자 △공급자와 수요자가 연계되는 SBOM 기반 공급망 보안 관리 △안전한 SW 개발 환경 조성 등의 사이버 복원력 강화를 제시하고 있다.
①개발기업의 SW 투명성 확보 지원
첫째, 개발기업의 SW 투명성 확보 지원이 필요하다. 국내 중소기업들이 SW 공급망 보안 체계를 구축하기 위해서는 인력과 시설 등에 대한 투자가 필요하다. 기업들의 이와 같은 초기 투자에 대한 부담을 완화하기 위해 범정부 차원의 지원센터 운영, SBOM 기반의 SW 공급망 보안관리 체계 도입 지원 및 SW 공급망 보안 관리 공통모델 연구가 요구된다.
②SBOM 및 SW 공급망 보안에 대한 적극적 투자
기업에서는 SW 공급망에 대한 사이버 위협에 대응하고, 미국과 유럽 등 주요국 시장에서 추진하고 있는 무역장벽에 대응하기 위해 SBOM과 공급망 보안 기술 확보를 위한 적극적인 투자가 필요하다. 보안 수준이 높은 기업은 신뢰도가 향상되고, 신뢰도가 높은 기업의 제품과 서비스는 소비자가 믿고 구매할 수 있다는 것을 명심할 필요가 있다.
③공급자와 수요자가 연계되는 SBOM 기반 공급망 보안 관리
기관 내 IT 자산과 SW, 그리고 SW의 구성요소를 같이 관리하고 관련 보안 취약점을 지속적으로 모니터링할 수 있는 입체적인 관리체계를 구축해야 한다. 이를 바탕으로 SW 개발기업과 수요기업의 공급망 관리체계가 연동될 수 있다면 상호 시너지 효과를 발휘할 수 있고, 산업 전반에서 선순환 효과를 창출할 수 있다.
④안전한 SW 개발 환경 조성 등 사이버 복원력 강화
SW 위험관리와 사이버 복원력을 강조하고, 향후 이를 제도적으로 구체화하고 실행하기 위한 법적·기술적 프레임워크를 도입할 필요가 있다. 시장에 공급되는 SW 제품 및 서비스 등의 생애주기 전반에서 보안관리를 강화하고, 소비자가 보안성 내재화 여부를 고려할 수 있도록 제도화(보안 적합성, IoT 보안 라벨링 등) 하는 방안도 필요하다.
⑤SBOM의 안전한 활용 및 기밀성 보장 기반 공유 방안
SBOM은 기업들이 공개를 꺼리는 다양한 정보를 포함할 수 있다. 이와 관련 정부는 “SBOM 활용에 따른 SW 개발기업의 리스크를 최소화하면서도 보안 취약점 관리를 통해 수요자의 보안 리스크도 동시에 최소화 할 수 있는 방안이 필요하다”며 “이를 해결하기 위해 SBOM의 기밀성을 보장하면서 동시에 SBOM을 안전하게 공유하는 기술에 대한 다양한 연구가 필요하다”고 밝혔다.
[김경애 기자(boan3@boannews.com)]
주요 SW 공급망 공격 유형과 대응책
[보안뉴스 김경애 기자] SW 공급망 공격 위협이 점점 더 증가하고 있다. 주요 SW 공급망 공격 유형은 △공개 SW 보안취약점 △타사 의존성 △공용 리포지토리 △변환 시스템 △업데이트 가로채기 △내부 리포지토리 △공급사 및 협력사 타깃 등이다. 따라서 기업과 기관에서는 이러한 SW 공급망 공격에 대해 각별한 주의와 함께 철저한 대응이 요구된다.
[이미지=gettyimagesbank]
1. 주요 SW 공급망 공격 유형
①공개 SW 보안취약점(Vulnerabilities in OSS)
공개 SW에 취약한 코드 또는 유해한 구성요소가 포함되어 취약성이 공개 SW를 사용하는 모든 SW에 전파될 수 있다.
②타사 의존성(3rd Party Dependencies)
공격자가 타사 SW(상용 SDK, 라이브러리 또는 컴포넌트13)에 악성코드를 삽입해 이를 악용하는 운영 시스템을 침해할 수 있다.
③공용 리포지토리(Public Repositories)
공개 SW 코드를 찾는 개발자를 목표로 깃허브(GitHub) 등 알려진 리포지토리 호스팅 서비스에 합법적인 SW 패키지와 유사한 이름을 가진 악성코드를 업로드할 수 있다.
④변환 시스템(Build Systems)
개발 프로세스 자동화를 위한 CI/CD 상의 중요 코드, 리포지토리, 컨테이너 및 변환 서버를 침해해 악성코드로 교체할 수 있는 위험이 있다.
⑤업데이트 가로채기(Hijacking Updates)
공격자가 SW 업데이트 과정을 침해하거나 업데이트 서버의 관리 권한을 가로채어 악성코드를 삽입할 수 있는 위험성이 존재한다.
⑥내부 리포지토리(Private Repositories)
공격자가 기업 내부에서 사용 중인 코드 저장소에 침입하여 악성코드를 삽입할 수 있어 위험하다.
⑦공급사 및 협력사(Suppliers and Business Partners)
SW 부품 또는 완제품 개발사, 공급사 등으로부터 외부 서비스를 제공받는 경우 관리되지 않는 타사 위험(Risk)이 내부 시스템으로 전이될 수 있다.
2. SW공급망 공격 대응방안 SBOM
이러한 보안 위협에 따라 SW 공급망 보안이 갈수록 중요해지고 있다. 특히 SW 전체의 구성요소를 목록화한 SBOM이 대응방안으로 주목받고 있다.
미국 NTIA는 SBOM을 ‘SW 재료의 목록’, 즉 SW 구축에 사용되는 다양한 구성요소의 세부사항과 공급망 관계를 포함하는 공식적인 기록으로 정의하고 있다. SW 구성요소의 투명성 강화 방안으로 SBOM의 최소 요건을 제시하고 있는데, 각 기업(기관)의 사용 목적에 부합하도록 SBOM에 포함돼야 하는 항목을 추가·수정해 활용할 수 있다.
과학기술정보통신부가 발간한 ‘SW 공급망 보안 가이드라인 v1.0(이하 가이드라인)’에 따르면 ‘SBOM 기반 SW 공급망 강화 방안’은 외부 SW 또는 자체 개발 SW는 다양한 공개 SW를 포함할 수 있다. SBOM 기반 SW 공급망 보안관리 체계를 통해 보안 취약점 등 공개 SW 활용에 따른 위험에 대응할 수 있다.
①개발사
개발사는 SW 개발 생명주기 전반에 걸친 SW 위험관리를 위해 기초 데이터가 되는 SBOM 생성을 위한 필수 설비를 구축·활용할 수 있다. SBOM 기반의 SW 공급망 보안을 위한 기초 설비는 SBOM 도구(공개 SW 및 상용 도구), SW 구성요소 저장소, SBOM 데이터베이스(DB), SW 위험 평가 및 관리를 위한 자체 보안취약점 DB 및 NVD 연계 등이다. 이와 같은 SBOM 기초 설비를 바탕으로 SW 공급사, 운영사에 대한 SW 구성요소 자산 파악과 보안패치 등을 통해 사이버보안 위협에 선대적 대응과 신속한 사후 대응도 가능하다.
②공급사 및 운영사
공급사와 운영사는 개발사 → 공급(유통)사 → 운영사로 이어지는 SW 공급망에 대한 SBOM 유통 체계를 구축할 수 있다. 가이드라인에서는 공공기관과 협단체 등에 ‘산업별 SW 공급망 거점’을 구축하고, 다수의 공급망 생태계에 검증된 정보를 제공하는 게 이상적인 체계라고 설명하고 있다.
3. SBOM 기반 SW 공급망 보안 발전 방안
정부는 민간 전문가들의 의견을 수렴해 SBOM 기반의 SW 공급망 보안 발전 방안으로 △개발기업의 SW 투명성 확보 지원 △SBOM과 SW 공급망 보안에 대한 적극적 투자 △공급자와 수요자가 연계되는 SBOM 기반 공급망 보안 관리 △안전한 SW 개발 환경 조성 등의 사이버 복원력 강화를 제시하고 있다.
①개발기업의 SW 투명성 확보 지원
첫째, 개발기업의 SW 투명성 확보 지원이 필요하다. 국내 중소기업들이 SW 공급망 보안 체계를 구축하기 위해서는 인력과 시설 등에 대한 투자가 필요하다. 기업들의 이와 같은 초기 투자에 대한 부담을 완화하기 위해 범정부 차원의 지원센터 운영, SBOM 기반의 SW 공급망 보안관리 체계 도입 지원 및 SW 공급망 보안 관리 공통모델 연구가 요구된다.
②SBOM 및 SW 공급망 보안에 대한 적극적 투자
기업에서는 SW 공급망에 대한 사이버 위협에 대응하고, 미국과 유럽 등 주요국 시장에서 추진하고 있는 무역장벽에 대응하기 위해 SBOM과 공급망 보안 기술 확보를 위한 적극적인 투자가 필요하다. 보안 수준이 높은 기업은 신뢰도가 향상되고, 신뢰도가 높은 기업의 제품과 서비스는 소비자가 믿고 구매할 수 있다는 것을 명심할 필요가 있다.
③공급자와 수요자가 연계되는 SBOM 기반 공급망 보안 관리
기관 내 IT 자산과 SW, 그리고 SW의 구성요소를 같이 관리하고 관련 보안 취약점을 지속적으로 모니터링할 수 있는 입체적인 관리체계를 구축해야 한다. 이를 바탕으로 SW 개발기업과 수요기업의 공급망 관리체계가 연동될 수 있다면 상호 시너지 효과를 발휘할 수 있고, 산업 전반에서 선순환 효과를 창출할 수 있다.
④안전한 SW 개발 환경 조성 등 사이버 복원력 강화
SW 위험관리와 사이버 복원력을 강조하고, 향후 이를 제도적으로 구체화하고 실행하기 위한 법적·기술적 프레임워크를 도입할 필요가 있다. 시장에 공급되는 SW 제품 및 서비스 등의 생애주기 전반에서 보안관리를 강화하고, 소비자가 보안성 내재화 여부를 고려할 수 있도록 제도화(보안 적합성, IoT 보안 라벨링 등) 하는 방안도 필요하다.
⑤SBOM의 안전한 활용 및 기밀성 보장 기반 공유 방안
SBOM은 기업들이 공개를 꺼리는 다양한 정보를 포함할 수 있다. 이와 관련 정부는 “SBOM 활용에 따른 SW 개발기업의 리스크를 최소화하면서도 보안 취약점 관리를 통해 수요자의 보안 리스크도 동시에 최소화 할 수 있는 방안이 필요하다”며 “이를 해결하기 위해 SBOM의 기밀성을 보장하면서 동시에 SBOM을 안전하게 공유하는 기술에 대한 다양한 연구가 필요하다”고 밝혔다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
-1.png)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
