[그게 뭔가요] 숨겨진 위협 막는 ‘SW 공급망’ 보안

아무리 사이버 위협 대응에 심혈을 기울인다고 해도 보이지 않는 위협을 찾아내지 못하면 독이 번지기 마련이다. 소프트웨어(SW)도 마찬가지. IT 환경을 운영하는 데 필요한 여러 SW를 도입하는 과정에 숨은 은밀한 사이버 공격이 기업이 가진 중요 자산을 노린다.

그래서 요즘 주목받는 게 ‘SW 공급망’ 보안이다. SW 공급망은 개발에부터 배포, 실행, 유지보수 등 SW 활용을 둘러싼 전 과정을 뜻한다. SW 공급 과정의 요소요소를 확인해 해커의 공격을 막고 피해를 예방하려는 노력이 이어지고 있다.

왜 중요할까?

이 개념이 중요한 이유는 SW 공급의 각 단계에서 취약점이 뚫리게 되면 비단 그 SW를 이용한 기업이나 기관뿐 아니라 고객사나 일반 사용자까지 위협이 확대되기 때문이다. 또 생각보다 살펴봐야 할 요소가 많아 각 단계에 대한 점검을 게을리하지 말아야 한다.

어떤 음식이 있다고 치자. 재료 수급부터 조리와 플레이팅, 서빙에 이르기까지 우리 입에 들어오기까지 적지 않은 과정이 필요하다. 만약 식재료 자체가 신선하지 못하다거나 재료를 잘못 요리한 경우, 음식을 담은 그릇의 위생이 좋지 않거나 이를 서빙하는 사람의 손에 병균이 묻어있다면? 음식을 직접 먹은 사람은 물론이고 주변 사람들에게도 질병이 확산할 수 있다.

SW 공급망도 마찬가지다. 적용 단계 각각의 위협을 확인해야 큰 피해를 예방할 수 있다. SW 개발은 개발자, 코드 라이브러리, 네트워크 인프라 등이 많은 요소가 복잡하게 얽힌 작업이라 그만큼 허점도 많다. 코드에 악성코드를 숨기거나 네트워크에 침투해 디지털 인증서 서명을 변경하는 등 어디든 위협이 침투할 수 있다.

우리나라도 청정지역이 아니다. 과학기술정보통신부는 올해 주요 위협 동향으로 SW 공급망 공격을 꼽았다. 어떻게 당했는지도 모른 채 그대로 피해를 볼 수 있다는 점이 SW 공급망 보안의 필요성을 높였다.

살펴봐야 할 것

개발 단계부터 보자. 최근 오픈소스 활용이 늘면서 해커가 오픈소스에 악성코드를 심어 SW 자체를 잠재적 위협으로 만드는 사례가 적지 않다. 2021년 연말 발생한 ‘로그4j(Log4j)’ 사태는 SW 공급망 보안의 중요성을 일깨운 중요한 사례다. 오픈소스 로그 라이브러리인 log4j는 자바(JAVA) 기반 애플리케이션 다수에 쓰이지만 정확히 SW의 어떤 부분에 log4j가 쓰였는지를 파악하지 못해 수많은 보안 이슈가 불거졌다.

최근 오픈소스는 개발 비용 절감과 다양한 기술 스택 활용이라는 측면에서 쓰임새가 계속 커지는 추세다. 그러나 해당 소스코드를 제작한 개발자의 신분을 알기 어려운 경우가 않고 소스코드에 해커가 악성코드를 심어 놓을 경우 그대로 SW가 위협의 숙주가 될 수 있다.

소스코드에 정보를 탈취하는 피싱 코드를 심어놓거나 시스템을 망가뜨리는 악성코드 공격 등 해당 오픈소스를 쓴 SW가 인프라 전체를 타깃으로 삼는다. 또한 악성코드가 포함된 SW개발도구(SDK)를 사용할 경우, 최종적으로 만들어낸 SW의 보안성이 떨어지는 건 당연하다.

배포 과정에서도 위협이 도사린다. 실행 파일을 내려받거나 업데이트를 진행하는 과정에서 악성코드를 정상 파일로 속이면 다수의 시스템이 영향을 받을 수 있다. 비정상 파일이 심어진 SW가 또 다른 솔루션 개발 과정에 영향을 미쳐 연쇄적 피해를 일으킨다. 만약 금융권이라고 치면 업데이트 파일 다운로드 과정에서 계좌 정보를 훔치거나 은행의 고객 정보를 들여다보는 등 2차 피해로 이어질 수 있는 구조다.

업데이트 파일 또한 만약 위협 요소가 들어있었다면 해당 SW 이용자나 고객사는 한꺼번에 감염에 이를 수 있다. 과기정통부는 지난해 우리나라에서도 신원이 알려지지 않은 해킹 그룹이 국내 프로그램 개발사 내부에 침투해 업데이트 파일 배포 서버로 악성코드를 유포하고, 고객사 시스템까지 감염시키는 공격을 일으켰다고 발표한 바 있다.

또한 SW 업데이트 배포 과정에서 네트워크 서버에 악성코드를 심거나 정상 SW인 것처럼 디지털 서명을 위조할 경우 그 SW 자체의 기능 마비나 또 다른 네트워크 연결 장애 등 연쇄 피해를 일으킬 수 있다.

국내 기업 레드펜소프트의 솔루션 ‘엑스스캔(XScan)’의 대시보드 모습. 이처럼 SBOM을 활용한 보안 솔루션 출시도 더 활발해지고 있다.

SW 공급망 보안을 위한 방안 중 대표적인 것이 ‘SBOM(Software Bill of Matereal)’이다. SW 적용 어느 단계에서 일어났는지 추적하고 취약점을 정확히 분석하는 일종의 명세서 성격이다. 어떤 소스코드를 썼고 어떤 배포 절차를 거쳤는지, 서명은 적법하게 됐는지 등 SW 적용과 관련한 메타데이터를 담는 문서다.

웹보안표준기구(OWASP)의 ‘사이클론(Cyclone) DX’와 리눅스 재단의 ‘SPDX’가 국제적인 SBOM 표준으로 꼽힌다. 이미 미국 정부는 2021년 SW 공급망 보안을 강화하라는 행정명령(EXECUTIVE ORDER 14028)을 내리기도 했다.

국가적으로도 SW 공급망 보안의 중요성을 인지하고 행동에 나선 상황이다. 현재 과기정통부는 국가정보원과 함께 관련 가이드라인 편찬 작업을 거의 마무리한 상태다. 여기에는 한국형 SBOM의 구체적인 사항과 도입 절차 등이 담길 예정이다. 일각에서는 외산 SW 적용이 필수불가결한 상황에서 통일된 기준의 필요성을 강조하고 있어 국제적인 협력 노력도 필요한 시점이다.

글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network

[컨퍼런스 안내] 클라우드 보안 & 제로트러스트 컨퍼런스 2024

바이라인네트워크는 올해 두드러진 사이버위협 트렌드, 클라우드 보안을 제대로 구현하는 방법과 기술을 알아보는 클라우드 보안 전문 컨퍼런스를 올해로 네번째로 개최합니다.

이번 행사에서는 하이브리드·멀티 클라우드 환경에서 보다 간소화된 방식으로 보안을 강화하고, 그 보안 수준을 유지할 수 있는 방안을 살펴봅니다. 아울러 원격 업무 환경 시대에 맞는 보안모델로 부각된 제로트러스트(ZeroTrust) 와 이를 구현하는 다양한 기술 방안, 시큐어액세스서비스 엣지(SASE), 폭발적인 변화를 부르는 AI 시대 진화된 위협 환경과 보안 방안 등을 포괄적으로 다룰 예정입니다.

  • 일시: 2024년 7월 4일 오전 9:50 ~ 오후 6:00
  • 장소: 서울 서초구 강남대로 213 양재 엘타워 6층 그레이스홀

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다