소프트웨어(SW) 기획·개발·배포, 유지보수 등에 필요한 모든 구성요소가 포함되는 개념인 소프트웨어 공급망은 날이 갈수록 복잡해지고 있다.

SW 공급망은 개발사·공급사·운영사를 거쳐 사용자에게 공급되는 형태로 이루어진다. 각 단계별 세부 요소들이 존재하는데 오픈소스 소프트웨어 사용 증가, 다양한 서드파티 라이브러리, 의존성 사용으로 인한 소프트웨어 자체 복잡성 증가 등으로 공급망이 더욱 확대되고 있다.

최근 들어 이러한 SW 공급망 틈을 노리는 공격이 지속적으로 증가하고 있다. 2020년엔 미국 소프트웨어 공급사 솔라윈즈에 대한 공급망 공격으로 미국 동부 송유관 파이프 라인이 가동을 멈추어 1만8000곳 이상 기업과 기관이 피해를 입은 사건이 발생했다.

2021년에는 오픈소스 컴포넌트 취약점인 Log4j 취약점으로 인해 전 세계적인 보안 위협이 확산되기도 했다. 2023년에는 감염된 금융 소프트웨어 ‘엑스레이더’를 내려 받은 내부 직원을 이용해 해당 기업 솔루션을 감염시켜 전 세계 60만명이 피해를 당한 사례가 있다.

이처럼 SW 공급망 공격은 대상 범위가 넓고 연쇄적 사고로 이어지는 등 파급력이 상당하다. SW 공급망에 대한 사이버 위협과 공격이 급증하고 있는 상황에 대응하기 위해 미국은 ‘국가 사이버보안의 개선에 관한 대통령 행정명령’을 발표하했다. 우리나라도 국가정보원∙과기정통부∙디지털플랫폼정부위원회에서 국내에 효과적으로 적용할 수 있는 SW 공급망 보안 강화방안을 논의해 2024년 5월 ‘SW 공급망 보안 가이드라인’을 발간했다.

위 행정명령과 가이드라인은 SW 공급망 보안을 관리하기 위해 소프트웨어 자재명세서(SBOM)를 적극적으로 활용해야 한다고 말한다. SBOM은 소프트웨어의 구성요소, 구성요소 간의 관계, 오픈소스와 라이선스 정보, 취약점 등을 정리한 문서다.

오픈소스 사용, 모듈화 및 재사용이 증가하고 있는 현대사회에서 복잡한 컴포넌트 관리와 공급망을 투명하게 관리하기 위해 반드시 필요하다. SBOM을 기반으로 소프트웨어의 구성 요소, 라이브러리, 버전, 의존성, 버전 등 정보에 대한 가시성을 확보함으로써 소프트웨어를 투명하게 관리할 수 있다.

이를 통해 잠재적인 보안 취약점에 선제적으로 대응하거나 오픈소스 라이선스와 관련된 문제를 사전에 식별하고 해결할 수 있다.

하지만 소프트웨어 개발 및 배포 단계에서 상당히 많은 양의 SBOM이 추출되는데 이를 수동으로 관리한다는 것은 불가능에 가깝다. 그러므로 SBOM 추출 및 관리를 자동으로 해주는 전문 도구가 필수적이다.

이에 쿤텍은 체계적인 SBOM 관리를 통해 공급망 보안 통합 관리를 수행할 수 있는 자체개발 솔루션 이지스(AEGIS)를 국내 시장에 공급하며 다양한 시스템 구축 노하우를 쌓았다.

이지스는 오픈소스 관리를 지원하는 ‘이지스-SCA’, SBOM 분석 기반의 공급망 관리시스템인 ‘이지스-SCM’, 레파지토리 관리 시스템인 ‘이지스-RMS’로 구성된다. 이 중 이지스-SCM을 통하여 바이너리 분석을 기반으로 소프트웨어 생명주기 전체에 걸친 공급망 보안 관리를 수행할 수 있다.

앞서 언급한 대로 SW 공급망에 대한 공격은 가속화되고 있고, SBOM 관리 어려움도 커지고 있다. 이러한 상황에서 SBOM 전문 관리 툴 도입 등 각 조직에 적합한 보안 체계 수립 전략을 세워 SW 공급망 생태계 투명성과 안정성을 지속적으로 확보할 수 있는 안전한 공급망 보안 관리 시스템을 구축해야 한다.

최인호 / 쿤텍 SCS(Supply Chain Security)사업팀 과장

<기고와 칼럼은 본지 편집방향과 무관합니다>