• 전세계 사이버보안 화두, SW공급망 보안…국가적 대응 태세
• 전익찬 레드펜소프트 부사장 “수요자 관점 공급망 보안 필요”

[디지털데일리 최민지 기자] 대통령실 국가안보실에 따르면 정부는 범국가적 차원의 정보통신기술(ICT) 공급망 보안정책과 대응체계를 확립한다. 관련해 국가정보원과 과학기술정보통신부는 ICT 공급망 보안 가이드라인을 다음달 공개할 예정이다. 한국만의 움직임이 아니다. 미국과 유럽연합(EU)은 올해부터 공공기관에 ICT 제품을 납품할 때 제품별 세부 사항 제출을 의무화하는 등 전세계 주요 국가들은 앞다퉈 공급망 보안을 강화하는 조치를 취하고 있다.

이처럼 공급망 보안에 국가적 대응 태세를 취하는 이유는, 개인‧기업뿐 아니라 국가 안보까지 영향을 미치는 문제이기 때문이다. 북한 등 국가 지원을 받는 조직화된 해커 그룹들이 소프트웨어(SW) 공급망 공격을 주도하면서, 한국도 주요 타깃이 되고 있다. 이에 따라 SW 공급망 공격을 막기 위해 오픈소스 보안을 강화해야 한다는 목소리가 커지고 있다. 오픈소스 취약점이 공급망 공격에 악용될 수 있기 때문이다.

다만, 이것만으로 SW 공급망 공격을 원천 봉쇄할 수 있는 건 아니다. 이와 관련 전익찬 레드펜소프트 부사장은 28일 경기도 분당 소프트캠프 사무실에서 <디지털데일리>와 만나 “오픈소스 중심 공급망 보안 경우, 오픈소스 취약점 문제는 해소되겠지만, 공급망 보안의 모든 문제가 해결되는 건 아니다”라며 “오픈소스뿐 아니라 모든 컴포넌트에 대응해야 한다”고 말했다.

오픈소스 분석은 공급망 보안 일부분일 뿐이라는 설명이다. 하나의 소프트웨어는 오픈소스 컴포넌트로만 이뤄진 것이 아니라 독점 컴포넌트, 써드파티 컴포넌트, 제반 아티팩트 등으로 이뤄졌기 때문에 오픈소스에만 초점을 맞춰서는 안 된다는 설명이다.

또한, 전익찬 부사장은 “공급망 보안을 오픈소스 중심으로 이야기하다보니, 개발자 관점 대응만 강조되고 있다”며 “개발자뿐 아니라 이해관계자 전체가 함께 해나가야 하는 부분”이라고 전했다.

이는 소프트캠프 자회사 레드펜소프트가 수요자 관점 공급망 보안 대응을 지원하는 ‘엑스스캔(XSCAN)’을 내놓은 이유이기도 하다. 엑스스캔은 기업 보안 담당자가 SW 무결성을 검증할 수 있는, 서비스 출시 이후 운영 단계에서 공급망 공격 위협에 대응할 수 있는 서비스다.

엑스스캔 특징은 소스코드가 없는 패치파일을 리버스 엔지니어링을 통해 코드사인서명, 각종 컴포넌트 등 소프트웨어 구성 부품표(SBOM)을 자동 생성한다. 이전 버전과의 비교 분석을 통해 정상 파일 컴포넌트를 가장한 공급망 공격을 사전 차단하고, 바이너리 파일 내 활용된 오픈소스 존재 여부 및 오픈소스 취약점 라이선스 위배 요소를 탐지한다. 또, 바이너리 기반 분석 결과로 수요자 관점 SBOM을 생성하고 주요 의심 행위를 분석한다.

전 부사장은 “상당히 많은 오픈소스 취약점이 발견되고 있지만, 사용자는 우선 해결해야 할 취약점부터 집중해야 한다. 이에 엑스스캔은 ‘KEV’ ‘HEV’를 제공한다”며 “이뿐 아니라 챗GPT를 활용해 인공지능(AI) 분석도 가능하다. AI와 묻고 답하는 형식의 버전도 배포를 준비 중”이라고 덧붙였다.

KEV(Known Exploited Vulnerability)는 미국 사이버보안 및 인프라보안국(CISA)에서 관리하는 반드시 패치해야 하는 취약점 CVE 리스트다. 이러한 취약점을 가진 소프트웨어는 내부로 반입하면 심각한 위협을 초래할 수 있다. HEV(Higly Exploitable Vulneability)는 국제사이버사고대응포럼(FIRST)의 익스플로잇 예측 점수 시스템(EPSS) 맵핑이다. 30일 이내 익스플로잇(취약점 공격) 될 가능성이 70% 이상인 취약점이다.

엑스스캔은 출시 6개월만에 국방‧공공‧금융 부문에서 레퍼런스를 확보한 상태다. 국내뿐 아니라 일본시장도 공략할 방침이다.

이날 소프트캠프 배환국 대표는 “엑스스캔은 분석 대상 자체가 오픈소스뿐 아니라 모든 구성요소의 특징적인 행위”라며 “SW 파일분석 시스템과 분석방법 관련해 글로벌 특허를 획득한 유일한 제품”이라고 강조했다.