[디지털데일리 최민지기자] 소프트웨어(SW) 공급망 공격이 증가하면서, 대기업뿐 아니라 개인 개발자 모두 SW 공급망 보안 위험을 방지할 필요성이 커졌다. 특히, SW에 오픈소스가 포함된 조직 경우 안전한 SW 개발‧운영을 위해 오픈소스 위험을 적극 관리해야 한다. 최근에는 금융권에서도 오픈소스 사용이 늘어난 만큼, 이에 대한 위험 관리가 요구되고 있다.

이와 관련 KMS테크놀로지와 <디지털데일리>는 12일 서울 여의도 콘래드서울에서 '금융 산업의 데이터 보안과 오픈소스 반입 및 관리 체계 방안'을 주제로 오찬세미나를 개최했다.

KMS테크놀로지 이창표 대표는 환영사를 통해 “IT뿐 아니라 다른 산업분야에서도 오픈소스 보안 중요성이 점점 높아지고 있다”며 “특히, 금융시장에서도 오픈소스를 사용하게 되면서 관련 중요성이 커지고 있어, 파트너사인 시높시스‧탈레스와 공동 세미나를 개최하게 됐다. 유용한 정보를 얻고 많은 도움이 되는 자리가 되기를 바란다”고 전했다.

이날 전소현 시높시스 이사는 기조연설을 통해 산업별로 고위험 취약점을 포함한 코드베이스 비율을 분석했을 때, 금융서비스‧핀테크 경우 73%에 달한다고 밝혔다. 이는 헬스케어‧생명과학‧사이버보안 등 다른 산업군과 비슷한 수준이다.

지난해 시높시스 블랙덕 감사 서비스팀에서 분석한 보고서에 따르면 전체 코드베이스 96%에 오픈소스가 포함돼 있다. 하지만, 53%는 라이선스 충돌을 나타냈고, 84%는 취약점을 포함하고 있었다. 특히, 오픈소스 74%는 고위험 취약점을 포함한 코드베이스로 조사됐다.

시높시스 블랙덕 감사 서비스 경우, 국내 대표 고객은 삼성전자와 스타벅스코리아 등이다. 삼성전자 경우, 인수합병(M&A) 대상 기업을 블랙덕 감사 서비스를 통해 애플리케이션 내 소스코드 비율을 조사하고 M&A에 적합한 회사인지 확인하고 있다는 설명이다.

전소현 이사는 “아직까지 시장에서 오픈소스를 관리하지 않고 있다는 방증”이라며 “보고서에 따르면 14% 고객은 아직도 10년 이상 취약점을 방치하고 있다”고 덧붙였다.

오픈소스 문제점 중 하나는 오픈소스 취약점이 일부에서 발견되더라도 조치가 쉽지 않다. 취약점 있는 오픈소스 라이브러리가 어디에 쓰는지 알아야 고칠 수 있고, 연결된 다른 컴포넌트들도 함께 패치를 해야 한다. 이에 승인되지 않은 오픈소스를 사용하지 않도록 하는 조치를 취하기도 한다.

문제는 인공지능(AI) 발전이 가속화되면서, 오픈소스 불확실성은 더 커질 것으로 보인다. 예를 들어, AI 학습을 통해 습득하는 데이터에 대한 저작권 문제가 발생할 수 있다. 여기에는 소스코드 저작권 문제도 포함된다. 개발자가 생성AI에 코드개발을 의뢰해, 이를 활용한 제품을 만들 수도 있다. AI가 코드를 변조할 수도 있다.

전 이사는 “AI 발전 속도에 맞물려, AI가 만든 코드를 발견하기 위한 제품을 지속적으로 개발하고 있다”고 말했다.

이에 따라 주요 국가는 SW 공급망에서 오픈소스를 사용하기 위한 상세지침을 만들고 있다. 지난해 미국 사이버보안 및 인프라 보안국은 ‘소프트웨어 공급망 보안: 오픈소스 소프트웨어 및 SW구성요소명세서(SBOM) 관리를 위한 권장 사례’를 발표했다. 또, 미 ‘국가 사이버보안 개선’을 위한 행정명령에 따르면 업체는 요청에 따라 SBOM을 구매자에게 직접 제공하거나 공공 웹사이트에 게시하도록 요청받을 수 있으며, 정부‧비정부조직은 SBOM을 검토해 해당 소프트웨어 제품이 SBOM이 필요로 하는 최소 구성요소에 부합하는지 확인하기 위해 SBOM을 검토해야 할 수 있다고 명시돼 있다.

전 이사는 “국내에서 활발하게 SBOM을 준비하고 있는 산업분야는 자동차쪽으로, 현대‧기아차 경우 납품하는 모든 SW 대상으로 SBOM을 준비하고 있거나 이미 SBOM을 제출하고 있다”며 “삼성과 LG 쪽은 자체 오픈소스팀을 이미 10년 전부터 구축해 시높시스와 협업해 오픈소스 SBOM을 함께 준비하고 제출하고 있다”고 설명했다.

이어 “SBOM을 만들려면, 오픈소스 단위 발출 과정을 관리해야 하고, 현재 쓰고 있는 애플리케이션의 오픈소스 항목을 만들어 관리해야 한다”며 “이를 자동으로 만들어주고 관리할 수 있는 것이, 시높시스와 KMS테크놀로지에서 하고 있는 일”이라고 강조했다.

시높시스는 가트너 매직쿼드런트 애플리케이션 시큐리티 테스트 분야에서 5년간 톱(TOP) 위치를 유지하고 있다. 시놉시스는 클라우드‧온프레미스(구축형) 솔루션을 모두 갖추고 있고, 오픈소스 분석 도구 등을 제공하고 있다.

한편, 한국 정부도 SW 공급망 보안을 높이기 위한 정책적 활동에 나섰다. 과학기술정보통신부(이하 과기정통부)는 지난달 SW 공급망 보안 가이드라인을 발표했다. 과기정통부는 지난해 실증을 통해 공급망 단계별 체크리스트를 마련해 자가점검할 수 있도록 했다. SW 공급망 보안 포럼 활동도 지속하고 있다.

이에 앞서, 국가정보원(이하 국정원)은 사이버안보 협력센터 기술공유실을 2022년 11월 구축해 ICT 기술 안정성을 확인하고 IT‧보안기업과 시험기관을 지원하고 있다. 이곳에서 공급망 보안테스트를 진행한다는 설명이다. 국정원은 산학연 전문가와 협렵해 SW 공급망 보안 통합 관리체계 구축방안을 논의하고, 테스트베드로 발전시킬 예정이다.

이만희 한남대학교 교수는 “지난해 10월 식품의약국(FDA)에 이어, 이번주부터 미 정부는 SW 공급망 관리를 본격 의무화한다”며 “과기정통부와 국정원이 구상 중인 SW 공급망 보안 모델은 올해 또는 내년 지나면 볼 수 있을 것이다. SBOM을 만들어야 하는데, SBOM에 무엇을 담을지에 대한 표준이 없어서 국정원에서 20개 항목을 선정했다”고 말했다.

이만희 교수는 “국정원은 공급망 보안 관련 제도를 추진하려고 하는데, 미국처럼 따라갈 것인지 보안 적합성 검증이나 시험 확인서‧인증제도 등으로 갈 것인지 의견이 모아지지는 않았다”며 “유럽연합(EU) 사이버복원력법(Cyber Resilience Act·CRA)이 2027년 시행 예정인 만큼, 한국도 3년 내 제도를 시행할 것으로 전망된다”고 부연했다.