SW 공급망 보안에 진심인 레드펜소프트…‘엑스스캔’으로 지키세요
전익찬 레드펜소프트 부사장 인터뷰
‘엑스스캔’으로 SW공급망 시장 정조준
“SBOM 활용 중요하지만 만능은 아냐 ”
보안 중요한 건 어제 오늘 일이 아니다. 하지만 보안만큼 ‘소 잃고 외양간 고치는 일’이 빈번한 분야도 없다. 뚫리면 바로 피해로 연결되고, 내 피해가 정확히 뭔지 모르는 상황까지 오면 그제야 해결책을 찾기 시작한다.
그 와중에 새로운 트렌드까지 등장했으니 더 골치가 아파진다. 소프트웨어(SW) 공급망 보안이 주인공이다. IT 시스템 적재적소에 설치된 SW는 잘 쓰면 약이 되지만 잘못 쓰면 깊이 숨겨진 시한폭탄이나 마찬가지다. 시스템 곳곳에 박혀있는 SW가 말썽을 부리면 전체 인프라까지 영향을 받는다.
최근의 개발 트렌드도 SW 공급망 보안의 중요성을 높였다. 오픈소스 활용이 늘어난 터라 취약점이 파고들 기회가 많아졌고, 인공지능(AI) 기술의 발전도 위협으로 다가왔다. 개발부터 배포, 실행, 유지보수 등 SW 활용을 둘러싼 과정 전반이 위협의 표적이 됐다.
보안업계도 가만히 있지는 않았다. 매번 뒤늦게 외양간만 고쳐서야 쓰겠는가. 다수의 기업이 SW 공급망 보안 솔루션 개발에 박차를 가하면서 생태계를 형성하고 있다.
소프트캠프의 자회사 레드펜소프트도 SW공급망 보안에 진심인 기업 중 하나다. 전익찬 레드펜소프트부사장은 <바이라인네트워크>와 만나 “한 번의 공격으로도 해당 SW 사용자와 기업을 무너뜨릴 수 있기에 사회적 파장과 피해가 막대하다”며 SW공급망 보안의 중요성을 강조했다.
수년 전부터 개념은 존재했지만 위협을 더 깊게 체감하게 만든 사건이 발생한 것도 업계 노력에 불을 붙였다. 2020년 미국의 SW 공급사 솔라윈즈(SolarWinds)를 노린 해킹 공격과 로그포제이(Log4j) 오픈소스 취약점 발견 등 큰 피해를 낳은 사례가 SW공급망 보안에 대한 경각심을 높였다.
대책 마련은 급물살을 탔다. 미국 정부는 2021년 행정명령(EXECUTIVE ORDER 14028)을 내리고 연방기관에 SW 제품을 납품할 때 SW자재명세서(SBOM) 제출을 의무화했고, 올해 우리나라 정부 또한 SW공급망 보안 가이드라인 1.0을 공개하며 관리 방안을 안내했다. 내년에는 국가정보원이 주축이 된 태스크포스(TF)가 구체적인 정책 방향도 내놓을 방침이다.
레드펜소프트의 무기는 지난해 출시한 ‘엑스스캔(XSCAN)’이다. 서비스형소프트웨어(SaaS) 형태로 SW의 취약점을 확인하는 솔루션이다. 소스코드 취약점 파악을 비롯해 AI로 쉽게 해결 방안까지 제시해준다.
이미 공격이 이뤄져 알려진 취약점 KEV(Known Exploited Vulnerability)와 공격 당할 가능성이 매우 높은 취약점 HEV(Highly Exploitable Vulnerability) 정보를 종합해 오픈소스의 허점을 파악한다. 또한 SW 패키지를 구성하는 제반 아티팩트(산출물)를 SBOM으로 생성해내고, 활용된 오픈소스 라이브러리 취약점과 라이선스 이슈도 추적해 낸다.
챗GPT 기반 생성AI를 물려 어떤 단계에 취약점이 있는지, 앞으로 해야 할 조치는 무엇인지 등을 AI가 자연어로 설명해 주는 것도 특징이다. SW공급망의 시작부터 끝단까지 모두 아우르는 솔루션이라 해도 과언이 아니다.
전익찬 부사장은 “레드펜소프트는 공급자 뿐 아니라 수요자 관점의 SW공급망 보안에 집중하고 있다”고 말했다. 기본적으로는 SW 벤더가 개발 단계에서부터 보안을 철저히 고려하고 취약점이 없앤 뒤 제품을 출시하는 것이 중요하다. 하지만 무엇이든 완벽이란 없는 만큼 SW를 쓰는 기업도 스스로 주의를 기울여야 한다.
공격의 피해 책임을 전적으로 SW 벤더에 물기가 쉽지 않은 것도 고려할 요소다. 많은 개발사가 SW 제공시 책임 제한이나 면책조항을 넣어 피해 보상 범위를 제한한다. 이에 SW를 쓰는 수요자 차원에서도 주의를 기울여야 한다는 게 전 부사장의 조언이다
전 부사장의 말처럼 엑스스캔은 개발사뿐만 아니라 피해의 직접 타깃이 되는 SW수요자 입장에서도 십분 활용하기 좋은 솔루션이다. 오픈소스 취약점 확인은 물론이고, 개발사가 만든 SBOM의 검증이나 시스템 구성요소 체크, 시스템 가시성 점검 등 SW를 쓰는 수요자 중심으로 SW공급망 보안을 지킬 수 있다는 설명이다.
SBOM은 현재 SW 공급망 보안의 기초 공사처럼 여겨지고 있다. SW 개발에 들어간 소스코드 등 개발과 유통 전반을 한 눈에 볼 수 있어서다. 하지만 전 부사장은 SBOM 만능론을 경계했다. 그는 시장의 시각처럼 SBOM이 SW 공급망 보안의 모든 문제를 해결하는 것은 아니라고 했다. SBOM이 문제없다고 해서 모든 SW 공급망 취약점이 해결되는 것은 아니라서다.
하지만 SW 구성요소 구석구석을 확인할 수 있는 만큼 1차 방어선 역할로는 십분 활용하는 것이 바람직하다. 전 부사장도 SBOM의 맹신은 피하면서도 활용 자체는 더 활발해져야 한다고 바라본다.
정부가 발간한 가이드라인 1.0도 그래서 의미가 있다는 진단이다. 가이드라인에는 SBOM 국제표준을 비롯해 ▲SW 개발주기에 따른 SBOM 관리 방안 ▲단계별 점검항목 ▲정부 지원체계 등이 담겼다. SBOM 작성에도 도움을 받을 수 있을뿐더러 앞으로의 적용 절차까지 확인할 수 있는 문서다.
그는 “정부의 가이드라인 발표 이후 기업과 정부의 대응이 크게 변화하고 있다”며 “SBOM 기반의 SW 공급망 보안과 SW 무결성 검증이라는 이슈가 시장에 크게 회자되고 있다”고 반색했다. SW공급망이 국가 사이버 보안의 핵심 의제로 부상하는 계기가 됐고 앞으로도 이러한 흐름을 이끌거란 기대다.
단 가이드라인이 권고의 성격을 띈 것은 한계일 수 있다. 엔터프라이즈 기업이나 공공 부문을 제외하고는 가이드라인 내용이 아무리 좋아도 적극 반영하기에는 현실적 무리가 따른다.
또한 과도한 규제로 흘러 SW 개발사에 새로운 장벽으로 작용하지 않도록 ‘운영의 묘’를 발휘하는 게 앞으로의 과제다. 아직 시작점에 불과한 점을 반드시 인식하고 개선 노력을 꾸준히 이어가라는 게 전 부사장의 의견이다.
전 부사장은 “레드펜소프트는 ‘수요자 관점의 SW 공급망 보안’이라는 조금 다른 포지셔닝을 취해왔다”면서 “외부로부터 SW를 획득하고 운영하는 모든 조직과 기관이 취해야 할 모범사례와 기술 기반을 제공하려고 한다”고 말했다.
기본적으로는 SW의 개발부터 보안을 철저히 고려하고 취약점이 없도록 제품을 출시하는 것이 물론 중요하지만, SW의 수요 기업도 제로트러스트 관점에서 SW공급망 생태계를 바라봐야 한다는 것이다. 이 과정을 더 쉽고 빠르게 돕겠다는게 회사의 포부다.
전 부사장은 국정원이 주축이 돼 꾸린 SW공급망 보안 TF에 기대를 걸고 있다고 밝혔다. 국정원 TF는 이르면 내년 1월 공공분야 SW 공급망 보안기준 등 보안 정책과 함께 업계 산업 지원·육성 방안을 마련한다. 가이드라인 1.0을 뒷받침할 기준과 적용 방안이 더 구체적으로 마련되면 확산 또한 빨라질 것으로 기대한다.
전 부사장은 “SW공급망 생태계 구축에는 모든 이해 관계자들이 나서야 한다”며 “이해관계자별 세부적인 보안 조치에 대한 세부적인 가이드와 체크리스트를 기대해 본다”고 말했다.
글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network