정보기술(IT) 영역에 관한 모든 지식을 압축해 풀이합니다. IT산업에 꼭 필요한 용어들을 소개하고, 살펴보면 좋을 쟁점들도 정리합니다. IT가 처음인 입문자라면 혹은 동향을 알고 싶은 전문가라면, 디지털데일리의 'IT백과'를 참고하세요. <편집자주>

[디지털데일리 김보민기자] 정보기술(IT) 업계에서 소프트웨어(SW) 공급망 보안이 화두로 떠올랐다. 사이버 공격자가 오픈소스를 비롯한 SW 취약점을 표적으로 삼으면서, 단일을 넘어 공급망 차원에서 SW를 관리해야 한다는 목소리가 커진 탓이다.

특히 글로벌 단위로 SW를 겨냥한 대규모 사이버 공격이 일어나면서 공급망 보안에 대한 중요성은 커지고 있다. 2020년을 기점으로 연이어 발생한 '솔라윈즈(SolarWinds)'와 '카세야(Kaseya)'를 노린 공격이 대표적인 예다.

이러한 인식이 퍼지면서 주요국에서는 '시큐어 바이 디자인(Secure by Design)'이라는 개념이 쓰이기 시작했다. '시큐리티 바이 디자인(Security by Design)'이라고도 불리는 이 원칙은 말 그대로 SW 설계 단계부터 보안 체계를 갖추는 것을 뜻한다.

해당 개념은 SW 공급망 보안 분야에서 선두주자로 꼽히는 미국 사이버보안인프라보호청(CISA)을 중심으로 퍼지고 있다. CISA는 제품을 개발하고 설계를 할 때 보안을 내재화하는 것이 중요하다고 강조하는데, 시큐어 바이 디자인을 적용해 제품을 개발한다면 추가 비용 없이 다중요소인증(MFA), 단일로그인(SSO) 등 주요 기능이 기본적으로 구현될 수 있을 것으로도 보고 있다.

MFA는 사용자가 인증 요소를 두 가지 이상 사용해 자신의 신원(아이덴티티)를 검증받는 기법이다. 기업은 자사 네트워크나 시스템에 SW를 적용할 때 추가인증 솔루션을 적용해야 하는데, 기획과 설계 단계에 관련 보안을 구축했다면 별도 조치를 취할 필요가 없어진다. SSO도 마찬가지다.

시큐어 바이 디자인은 소프트웨어자재명세서(SBOM)라는 개념이 등장하면서 더욱 힘을 받는 분위기다. SBOM은 개발 과정에서 외부 오픈소스 등을 통해 유입될 수 있는 보안과 라이선스 문제를 관리하는 일종의 자재명세서다. 제조업에서 사용하는 부품표(BOM)을 착안한 용어로, 위협이 발생할 시 SW 구성요소를 즉각 식별할 수 있어 보안 울타리를 강화할 대안으로 주목받고 있다.

현재 미국과 유럽연합(EU)을 비롯한 주요국은 SW 공급망 보안 관리에 자동화된 대응 체계를 구축하는 등 적극적인 자세를 취하고 있다. SBOM은 SW 위험을 관리할 기본 자재로 여겨지고 있다. 특히 미국은 중요 SW를 정의한 뒤, 해당 SW가 공공기관에 도입되기 전 신뢰성을 검증받도록 하고 있다.

해당 국가에서 사업을 하거나 IT 제품을 납품하는 기업일 경우, 의무적으로 SW 공급망 보안 조치를 취해야 한다는 의미다. 미국 CISA는 지난달 개최한 'SBOM-a-Rama' 행사 안내를 통해 "SBOM 개념은 새로운 것이 아니다"라며 "학계에서는 1995년 SBOM에 대한 잠재적 가치를 확인했고, 이후 모호했던 개념이 글로벌 핵심 의제로 떠오른 상황"이라고 진단하기도 했다.

한국도 시큐어 바이 디자인에 대한 기본 원칙이 수반돼야 한다는 데 공감하고 있다. 정부는 올해 'SW 공급망 보안 가이드라인 1.0'을 통해 한국이 반영할 만한 국제 동향과 SBOM 활용 사례를 소개했다.

공급망 보안 단계별 점검표(체크리스트)가 포함된 것도 특징이다.

체크리스트는 ▲설계 ▲개발 ▲공급(유통) ▲도입 및 운영 ▲유지보수 등 단계별 확인 사항을 담았다. 설계부터 개발까지 시큐어 바이 디자인 개념을 착안하는데, 특히 개발 단계에 관련 원칙이 포함된 것을 확인할 수 있다. 일례로 SW 보안 취약점을 최소화하기 위해 시큐어코딩을 준수하는지, 배포 전 기본 설정을 검토했는지, 외부 라이브러리를 도입할 때 보안성을 확인하는지, 내부 저장소에 인가된 사용자만 접근하는지 등 확인 사항이 담겼다. 컴파일러·인터프리터를 사용할 때 보안 옵션을 사용하는지, SBOM에 명시한 보안 취약점을 확인하는지와 관련된 내용도 핵심으로 꼽혔다.

SW 공급망 보안 제도화 작업에도 한발 내디딘 상황이다. 국가정보원(이하 국정원)과 과학기술정보통신부(이하 과기정통부)는 지난달 'SW 공급망 보안 태스크포스(TF)'를 발족했다. TF는 국정원 주관 정책분과와, 과기정통부 주관 산업분과로 나눠 사이버 위협과 보안 정책 및 지원 방안을 마련하는 역할을 수행한다. 2개 분과 아래 8개 워킹그룹이 운영되며, 규모는 65명 수준으로 전해진다.

이러한 흐름 속 시큐어 바이 디자인을 필두로 사업을 펼치는 보안 기업도 늘고 있다. 글로벌 시장에서는 팔로알토네트웍스가 선두주자로 거론되고 있다. 팔로알토네트웍스는 올 3분기 '시큐어 AI 바이 디자인(Secure AI by Design)'를 출시했는데, 해당 제품 포트폴리오는 개발부터 배포까지 AI 보안 프레임워크 무결성을 지원하는 것이 특징이다.

국내에서는 파수 자회사 스패로우, 소프트캠프 자회사 레드펜소프트, 래브라도랩스가 SBOM을 비롯한 SW 공급망 보안 시장에서 활약하고 있다. 래브라도랩스의 경우 올해 CISA 'SBOM-a-Rama' 행사에 한국 기업 중 유일하게 발표와 전시에 참여했다.

다만 일각에서는 국내에서 SW 공급망 보안에 대한 인식이 자리잡기 위해서는 시간이 필요하다는 의견이 나온다. 오픈소스를 사용하는 사실을 자각하지 못하는 기업이 다수인 데다, 각 분야별 현황을 파악하고 기술적 준비와 운영을 하기가 쉽지 않기 때문이다.

일단 SW 공급망 보안 TF는 내년 1월까지 공공분야 SW 보안 기준을 비롯한 보안 정책을 마련하고, 2027년 시행을 목표로 단계별 로드맵을 공개할 계획이다. 가이드라인 2.0도 준비 중인 만큼, 한국에서도 시큐어 바이 디자인을 기반으로 한 SW 공급망 보안이 안착할지 지켜볼 부분이다.