‘SW 공급망 보안’에 힘주는 레드펜소프트, AI로 설명까지 술술

By이진호

소프트웨어(SW) 공급망 보안 강화를 위한 우리 정부와 업계 노력이 계속되고 있다. SW 공급망의 효과적인 관리 방안을 담는 가이드라인 제작이 마무리 단계에 들어섰고, 이와 관련한 솔루션도 시장의 주목을 받고 있다.

29일 업계에 따르면 현재 국가정보원과 과학기술정보통신부는 다음달 공개를 목표로 ‘ICT 공급망 보안 가이드라인’ 편찬 작업에 속도를 내고 있다. 지난 2022년 SW 공급망 보안 포럼을 출범한 이후 가이드라인까지 펴내 현장 확산을 돕겠다는 취지다.

포럼 출범식 당시 시선을 모은 게 ‘소프트웨어 자재명세서(SBOM·SW Bill of Materials)’다. SW 제품에 쓰인 기술 스택이나 소스코드 등 구성요소를 비롯해 SW 배포 과정 등을 담은 일종의 기록 문서다. 해당 SW와 관련한 정보를 모두 담기 때문에 향후 취약점이 발견됐을 때 SBOM을 참고하면 원인 분석과 문제 해결이 수월해지는 장점이 있다.

이미 세계적으로 SBOM 도입은 대세로 자리 잡았다. 미국은 정부 행정명령(EXECUTIVE ORDER 14028)을 내려 연방기관에 SW 제품을 납품할 경우 SBOM 제출을 의무화했다.

유럽연합(EU)와 일본을 비롯해 중국, 네덜란드, 프랑스, 독일, 영국 등 세계 다수의 국가가 SBOM을 바탕으로 한 SW 공급망 보안 정책 마련에 집중하는 상황. 국내에서도 올해 SW 공급망 공격이 증가할 것으로 예상되며 다수의 보안 기업이 각별한 주의를 요구한 바 있다.

국내 보안 업계도 솔루션을 통한 보안 강화 노력이 한창이다. 지난해 9월 ‘엑스스캔(XSCAN)’을 출시한 레드펜소프트의 전익찬 부사장은 “SBOM을 통해 SW의 무결성 여부를 검증하고 리스크를 들여다봐야 한다”고 말했다.

엑스스캔은 서비스형소프트웨어(SaaS) 형태로 SW 취약점을 확인하는 솔루션이다. SBOM을 비롯해 자체 엔진을 통해 SW 취약점을 가려낸다. SW 공급자 입장에서는 가능성 여부를 지속적으로 검증하는 한편, 특히 SW를 도입한 수요자 또한 SBOM을 메타데이터 삼아 무결성을 검증하라는 게 전 부사장의 조언이다.

기본적으로 국제 SBOM 표준인 국제웹보안표준기구(OWASP)의 ‘사이클론(Cyclone) DX’와 리눅스 재단의 ‘SPDX’를 바탕으로 취약점을 가려내는 한편 세부 분석을 위한 자체 엔진도 함께 활용한다.

현재 국정원과 과기정통부가 만들고 있는 가이드라인은 ‘오픈소스’ 취약점에 초점을 맞춘 한국형 SBOM이 담길 것으로 알려졌다. SW 업계 전반이 오픈소스 활용을 늘리는 추세인데다, 여러 기여자가 함께 만드는 오픈소스 특성 상 보안 취약성 우려가 커지고 있어서다.

실제 2021년 오픈소스 라이브러리 ‘로그4j(Log4j)’ 취약점 사태는 큰 피해를 낳았다. 정확히 SW의 어떤 부분에 log4j가 쓰였는지를 파악하지 못해 수많은 보안 이슈가 불거졌다. 이를 기점으로 SW 공급망 보안 강화 논의도 급물살을 탔다.

물론 엑스스캔도 오픈소스 취약점 관리를 소홀히 하지 않는다. ‘KEV(Known Exploited Vulnerability)’와 ‘HEV(Higly Exploitable Vulneability)’를 통해 오픈소스 부분의 취약점을 체크한다.

KEV는 미국 사이버안보·인프라보호청(CISA)이 만든 정보보안 취약점 표준 코드(CVE) 리스트다. 여기에 국제사이버사고대응포럼(FIRST)의 침해 예측 점수 시스템에 따라 30일 이내 공격 받을 가능성이 70% 이상인 취약점을 체크하는 HEV를 함께 활용한다.

전 부사장은 “오픈소스를 비롯해 전 영역에 걸쳐 SW 취약점을 살펴보는 것이 중요하다”며 “공격자의 관점에서 생각해 위협을 탐지하고 차단해야 한다”고 강조했다.

챗GPT 기반 생성AI를 물린 것도 특징이다. 한 번의 클릭 만으로 어떤 단계에 취약점이 있는지, 앞으로 해야 할 조치는 무엇인지 등을 AI가 자연어로 설명해준다.

전 부사장은 “엑스스캔은 SW 패치와 유지보수 과정 전반을 확인하고 버전 별로 상이한 패치 형상을 종합 관리할 수 있는 솔루션”이라며 “일본을 시작으로 동남아시아와 미국으로도 시장을 확대해 나갈 것”이라고 말했다.

한편 국정원과 과기정통부의 ICT 공급망 보안 가이드라인은 자세한 내용을 담은 전체본과 일반인도 알기 쉽도록 다듬은 요약본 두 가지 버전을 함께 내는 방안이 유력한 것으로 알려졌다.

과기정통부는 지난해 6월 나왔던 제로트러스트(ZeroTrust) 가이드라인도 이와 같은 두 가지 버전으로 제작한 바 있다. 과기정통부 관계자는 “제로트러스트 가이드라인의 경우 쉽게 이해할 수 있도록 분량을 조정한 요약본의 현장 반응 또한 좋았다”면서 “이번(ICT 공급망 가이드라인) 것도 요약본 제작을 고려하고 있다”고 말했다.

글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network

보이는 것만 믿지 않겠습니다.
jhlee26@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다