[슫스레터] 사이버 빌런에 맞설 마블리급 SBOM 등장!

오픈소스 취약점이 빌런들에게 노출됐다?

2024. 6. 24.

님, 안녕하세요? 서두석 프로예요🙋 올해 슫스레터로 리뉴얼하고 벌써 반년이 지났네요! 그동안 AI를 시작으로 Cloud, SW Engineering, Language 등 IT 기술 분야별 큰 흐름을 짚어보는 시간을 가졌는데요. 오늘은 그 대미를 장식할 다섯 번째 주제, 바로 Security를 다뤄볼 거예요. 기술의 발전에 맞춰, 보안 위협도 증가하고 있거든요.🚨

지금부터 변화하는 개발 환경과 함께 대두된 소프트웨어 생태계의 보안 이슈, 그리고 SBOM(Software Bill Of Materials)을 중심으로 한 소프트웨어 공급망을 보호하기 위한 움직임을 이야기해 볼게요!

• 소프트웨어 생태계 확장으로 대두된 보안 이슈
• 오픈소스 취약점이 빌런들에게 노출됐다?

• 빌런을 막기 위한 역대급 마블리(국제적 가이드라인 SBOM) 등장!

소프트웨어 생태계 확장으로 대두된 보안 이슈

기억하시나요?! 슫스레터 3월 호에서 클라우드 발전과 전망에 대해 살펴봤는데요. 클라우드의 등장으로☁ 소프트웨어 생태계가 급격히 발전했고, API(*) 활용이 크게 늘어 오픈소스 소프트웨어가 자유롭게 공유되는 시대가 왔죠. 그러나 이러한 편의성이 증대된 만큼 보안 위협이 더욱 치밀해진 것도 사실이에요.

* API (Application Programming Interface) : 소프트웨어 또는 시스템 간 상호작용을 가능하게 하는 인터페이스로, 다양한 기능이나 데이터를 다른 프로그램에서 접근하고 사용할 수 있도록 도움.

가트너에 따르면, 2023년 전 세계 보안 및 리스크 관리 지출은 1,881억 달러에 달했으며, 2024년에는 2,150억 달러에 이를 거라고 전망했어요. 바로 클라우드 도입, 하이브리드 근무 환경의 확대, 생성형 AI의 급격한 사용 증가 때문이죠.📈

원래 편의성이 높아질수록 보안에 대한 노출이 커지기 마련이잖아요. 이를 양립하기 위한 기술이 나날이 발전하고 있지만, 마치 창과 방패처럼 아무리 완벽히 막으려고 해도 더 날카로운 창으로 뚫으려는 사이버 해킹 위협은 계속되고 있어요.

오픈소스 취약점이 빌런들에게 노출됐다?

현대의 복잡한 소프트웨어 공급망(*)은 보안 위협의 주요 타깃이 되고 있는데요. 특히, 오픈소스 SW의 대중화는 보안 취약점을 증가시키는 요인이 돼요.

* 소프트웨어 공급망(Software Supply Chain): 소프트웨어를 개발하고 배포하는데 관련된 시스템, 인프라, 코드, 인력 및 프로세스 등 모든 것을 포괄하는 생태계.

전통적인 공급망과 소프트웨어 공급망 비교 (출처)

Synopsys의 2023년 오픈소스 보안 및 리스크 분석 보고서에 따르면, 분석된 1,700개의 코드베이스 중 96%가 오픈 소스를 포함하고 있었는데 이 중 84%는 최소 하나 이상의 알려진 오픈소스 취약점을 가지고 있었어요.📑 사이버 해킹은 소프트웨어 자체보다 GitHub(*)와 같은 코드 저장소, 오픈소스 취약점, 소프트웨어 개발사의 보안 취약점을 노리는 공격이 더 쉽고 파급력이 크기 때문에, 누군가 위협을 가한다면 대규모 데이터 유출이나 시스템 손상 등의 심각한 결과를 초래할 수 있어요.⚡

* 깃허브(GitHub): SW 개발자들이 협업할 수 있는 웹 기반 플랫폼으로, 오픈소스 프로젝트에서 많이 사용됨. 개발자들은 GitHub를 통해 소스 코드 저장소를 관리하고, 버전 관리를 수행하며 코드 리뷰와 협업 도구를 통해 프로젝트를 효과적으로 진행할 수 있음.

• 사례#1. SolarWinds 공급망 공격

해킹 그룹 UNC2452는 2019년 9월부터 2021년 1월까지 미국 IT 기업 SolarWinds의 네트워크 관리 솔루션 Orion의 업데이트 파일에 악성코드를 삽입, 포춘 500대 기업 중 400개 이상의 기업과 정부 기관을 공격했어요.🚨 MS, 인텔, 미국 주요 정부 기관 등이 피해를 입었고요. 문제는 정상적인 업데이트를 통한 배포로, 이에 대한 인지가 어려웠다는 점이에요.

• 사례#2. Apache Log4j의 취약점

2021년 하반기, 프로그램 로그를 기록하는 대표적인 오픈소스인 Apache Log4j 라이브러리의 취약점이 발견됐는데요.🔍 이를 근간으로 하는 Apache Kafka/Sola/Spark, ElasticSearch 등의 오픈소스에도 연쇄적으로 취약점이 노출되는 등 큰 파장이 일었어요. 구글 분석에 따르면, Apache Log4j 결함에 영향을 받은 직간접 Java 패키지는 35,863개에 달한다고 해요.

직접/간접 Dependency에 따른 보안 위협 전파 (출처)

[좌측] 최상단 패키지가 직접적으로 취약한 패키지(빨간색)에 의존. 이 패키지가 취약성을 바로 포함하고 있다는 뜻으로, 이를 사용하는 모든 하위 패키지도 그 취약성에 영향 받음.

[우측] 최상단 패키지가 간접적으로 취약한 패키지(빨간색)에 의존. 중간에 다른 패키지들을 통해 취약성이 전달된다는 뜻으로, 취약성이 중간 단계를 거쳐 전달.

빌런을 막기 위한 역대급 마블리

(국제적 가이드라인 SBOM) 등장!✨

보안을 위협하는 빌런들이 재차 삼차 등장해도 이를 막기 위한 강력한 마동석급 파워는 존재한답니다. 미국은 2021년 행정명령(EO 14028)을 통해 SW 공급망 보안을 위한 보호 조치를 강화했어요.💪 미 정부기관에 소프트웨어를 공급하는 업체는 코드 취약점 수정, 오픈소스 SW의 무결성(*) 등 가이드 준수 여부에 대한 증명서와 함께 SBOM을 제출해야 하죠.
* 오픈소스 SW의 무결성: 소스코드가 변경되지 않고 그대로 유지되는 것. SW의 신뢰성을 높이고, 개발자가 안심하고 사용할 수 있게 하므로, SW 공급망 보안에서 매우 중요함.

• “내가 SW 공급망 보안을 위한 마블리다!”

: SBOM(Software Bill Of Materials)이란?😮

SBOM은 Software Bill Of Materials의 약자로, 소프트웨어의 구성 요소와 그 구성 요소가 정상 작동하기 위해 필요로 하는 다른 소프트웨어나 라이브러리정보를 기록한 목록이에요. 소프트웨어 제품에 포함된 모든 구성 요소, 라이브러리, 모듈 및 해당 버전을 표준화된 포맷을 사용해 자세히 나열함으로써, 소프트웨어를 이해하고 관리하는 데 큰 도움이 돼요.👍

• 주요국의 SBOM 컬러는?👀

미국 NTIA(통신정보관리청)은 SBOM의 최소 요건과 필수 데이터 항목을 규정하고, 국제적으로 많이 활용되던 포맷 중 3가지를 SBOM 표준 포맷으로 선정했어요.📌

· SPDX: 리눅스 재단이 지원하는 국제 표준(ISO/IEC 5692:2021)으로 가장 많은 상용업체가 참여하고 있으며, rdf, xlsx, spdx, xml, json, yaml 등 가장 많은 파일 형식도 지원.

· CycloneDX: 국제 웹 보안 표준기구 OWASP(Open Web Application Security Project)가 만든 경량 SBOM 포맷으로 json, xml 파일 형식을 지원.

· SWID: 미국 표준기술 연구소 NIST(National Institute of Standards and Technology)가 지원하는 국제 표준(ISO/IEC 19770-2:2015)으로 SW 정보로 태그를 생성하여 식별 정보 관리.

EU는 2022년 사이버 공격에 대한 복원력 강화에 중점을 둔 Cyber Resilience Act 입법을 제안했어요. 취약성 공격에 대한 보고와 SBOM 제출 의무화를 추진할 예정인데요. 향후 EU 교역에 무역 장벽으로 작용할 수 있으니 해당 기업들은 예의주시해야 되겠죠!🧐

우리나라도 2022년 12월 TTAS(정보통신단체표준)으로 SBOM 속성 규격을 제정, 2024년까지 SBOM 통합관리 플랫폼을 구축하여 미국과의 상호인증도 추진할 예정이에요. 그리고 2022년 10월 제로 트러스트(*)와 공급망 보안 포럼을 발족했어요.
* 제로 트러스트(Zero Trust): 내외부 모든 네트워크를 기본적으로 신뢰하지 않는다는 개념에 기반한 보안 모델. 모든 접속을 지속적으로 확인하고 검증하는 것을 목표로 하며, 특히 클라우드 컴퓨팅 환경과 분산된 업무 환경에서 중요한 보안 접근 방식.

"SBOM이 더 발전하면 S여름이 될지도?"

흔히 완벽한 보안이라는 개념이 존재하지 않는다고 이야기하는데요. 기술이 발전하고 편리한 도구가 많아질수록 사이버 공격 또한 더욱 치밀해지기 때문이에요. 하지만 소프트웨어 공급망을 투명하게 만들어 보안 위험을 관리하고 예방하는 SBOM과 같은 도구가 등장한 것처럼,💡 기업과 정부, 보안 커뮤니티는 이러한 진화된 도구와 전략을 적극 활용하여 끊임없이 변화하는 디지털 환경에서 보안을 강화하는 방향으로 나아가고 있어요. 이렇게 함으로써 우리는 보안 위협에 대응해 나갈 수 있답니다.😎

오늘의 슫스레터는 어떠셨나요?!👀 저희 멘토 3인방은 슫스레터를 발행하고 나면 잠시 야호를 외쳤다가, 곧.바.로! 여러분이 보내주시는 소중한 피드백들을 꼼꼼히 읽어보기에 돌입하는데요😋 슫스레터가 한 단계 한 단계 성장할 수 있도록 애정을 담은 피드백을 보내주심에, 진심으로 감사한 마음이에요💖 그럼 지난 호에는 어떤 의견들을 보내주셨는지 함께 볼까요?

이번에도 여러분의 목소리가 듣고 싶어요! 저희 3명의 멘토들에게 하고 싶은 말이나 슫스레터 내용 중 개선되었으면 하는 부분 등 어떤 의견도 좋아요.🙏 이번 주제에 대한 이야기, 쓴소리 등 자유롭게 작성해 주신 피드백은 슫스레터가 성장하는 데 아주 많은 도움이 된답니다.😉 피드백을 남겨주신 분들께는 추첨을 통해, 감사의 마음을 담은 시원~~한 선물도 드려요!

🎁 선물 : 설빙 인절미빙수 (10명)
📌 이벤트 기간 : 6/24(월) ~ 6/30(일)
📌 당첨자 발표 : 7/3(수)

좋았어요🥰

아쉬워요😐