[포럼] 오픈소스SW 공급망 보안, 더 중요해졌다

2023. 1. 16. 19:06
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
염흥열 순천향대 정보보호학과 교수

우리는 많은 인터넷 서비스를 이용하고 있고, 이러한 서비스를 제공하기 위해서는 많은 소프트웨어가 필요하다. 기업과 정부 조직은 최근 오픈소스 방식으로 구현되는 다양한 소프트웨어를 점점 더 많이 활용하고 있다. 오픈소스 소프트웨어란 공개적으로 누구나 접근할 수 있는 코드로서, 한 기업의 개발자가 구현하는 것이 아니라 여러 전문가가 공동으로 개발하며, 통상 개발은 프로젝트라는 이름으로 수행된다. 따라서 오픈소스 소프트웨어는 누구나 코드를 볼 수 있고, 수정할 수 있으며 배포할 수 있다. 고도의 기술과 전문성을 보유한 전문가 집단이 협업해 분산적으로 개발한다.

오픈소스 소프트웨어 공급망에 대한 대표적인 공격 시나리오는 공격자가 산업제어시스템을 운영하는 조직에 오픈소스 소프트웨어를 공급하는 소프트웨어 공급자의 개발 시스템을 해킹해 악성코드를 심는다. 이렇게 되면 공격자는 산업제어시스템을 원격으로 통제할 수 있게 된다.

대표적 공격 사례가 2020년 말부터 전 세계적으로 심각한 영향을 미친 솔라윈즈 보안 사고이다. 사이버공격 그룹은 소프트웨어 제작 기업인 솔라윈즈(SolarWinds)를 해킹해 그 플랫폼의 업데이트 프로그램에 악성코드를 주입했다. 공격자는 업데이트 프로그램을 설치한 전 세계 주요 기업, 정부 기관, 보안기업 등의 내부 네트워크에 침투할 수 있게 되었다. 솔라윈즈의 30만 고객중 1만8000개 고객사가 이러한 공격의 피해자가 되었다.

'소프트웨어 자재 명세서(SBOM)'는 하나의 오픈소스 소프트웨어를 구성하는 하나 이상의 소프트웨어 요소에 대한 정보를 제공한다. 이를 이용하면 이용자는 오픈소스 소프트웨어의 구성 요소에 발생하는 보안 위협을 쉽게 식별할 수 있다.

미국 바이든 대통령은 2021년 5월에 발표한 사이버보안 행정명령을 통해 소프트웨어 공급망 보안의 중요성을 강조했다. 세부 내용은 △소프트웨어의 보안은 연방 정부의 대국민 서비스 역량에 매우 중요함 △소프트웨어 개발의 투명성과 사이버 공격 저항 능력이 부족함 △소프트웨어 제품에 대한 엄격한 보안 조치가 필요함 △오픈소스 소프트웨어의 보안성과 무결성은 매우 중요함 △소프트웨어 공급망의 보안과 무결성을 개선하기 위한 신속한 조치가 필요함 등이다. 또한 미국 국립전기통신및정보청(NTIA)은 미국 연방 정부 기관에서 사용할 SBOM에 대한 요구사항을 정의했다. SBOM에는 공급자 이름, 구성 요소 이름, 구성 요소의 버전, 구성 요소 간 종속성, 고유 식별자, SBOM 데이터 작성자, 그리고 수집 시간 및 날짜 등이 포함돼야 한다고 규정하고 있다.

우리나라도 오픈소스 소프트웨어 공급망 보안을 강화해야 하며 이를 위해서는 다음 사항이 고려돼야 한다.

먼저, 국내 정부 및 공공기관이 이용하는 오픈소스 소프트웨어 보안 취약성에 대한 실태를 조사할 필요가 있다. 이를 이용해 국내 환경에서 오픈소스 소프트웨어 공급망에서 발생할 수 있는 주요 위험을 식별하고, 각 이해 당사자가 취해야 할 보안 조치를 포함한 보안 지침을 개발해 보급해야 한다. 오픈소스 소프트웨어 보안 인증 제도의 신설도 고려해야 한다. 또한 오픈소스 소프트웨어 공급자와 이용자 간의 구매 계약서에 보안 관련 조항을 포함해 주요 이해 당사자의 책임성을 강화해야 한다.

둘째, 오픈소스 소프트웨어 공급망 보안 강화를 위해 SBOM의 활용을 권장해야 한다. 오픈소스 소프트웨어 취약성으로 인해 보안 사고가 발생하는 경우, 필요한 조치를 신속하고 효과적으로 취할 수 있기 때문이다. 미국 연방정부와 같이, 중요 정보를 다루는 정부 조직 또는 공공기관은 SBOM의 활용을 의무화 할 필요도 있다.

셋째, 오픈소스 소프트웨어 공급망 보안에 대한 연구개발과 국내외 표준의 개발이 필요하고, 국제 공동 연구의 추진도 고려해야 하며, 이를 위한 보안 인식 제고 활동도 필요하다.

소프트웨어 보안은 아무리 강조해도 지나치지 않다. 특히 오픈소스 소프트웨어의 해킹은 국가 기간망 해킹으로 연결될 수 있기 때문이다. 따라서 최근 정부에 의해 발족된 '제로 트러스트 및 공급망 보안 포럼'을 활용하는 등 오픈소스 소프트웨어 공급망 보안을 강화하기 위한 정부와 민간의 다각적인 노력이 절실하다.

Copyright © 디지털타임스. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
디지털타임스에서 직접 확인하세요. 해당 언론사로 이동합니다.