최근 몇 년간, 소프트웨어 공급망 보안은 사이버 보안의 중요한 이슈로 떠오르고 있습니다. 특히 SolarWinds 해킹 사건과 Log4j 취약점 문제로 인해 전 세계가 소프트웨어 공급망의 취약성을 인식하게 되었습니다. 이러한 사건들은 해커들이 인기 있는 소프트웨어 아티팩트(라이브러리, 프레임워크 등)를 악용하여 시스템에 침입하고, 그로부터 더 큰 공격을 계획할 수 있다는 것을 보여주었습니다.
결국, 소프트웨어 공급망 보안은 DevSecOps(DevOps와 보안의 통합)의 핵심 개념으로 자리 잡았으며, 개발 초기 단계에서부터 보안을 내재화하는 'Shift Left' 운동의 연장선상에 있다고 볼 수 있습니다. 이 글에서는 소프트웨어 공급망 보안의 주요 개념, 도구 및 개발자들이 알아야 할 사항들을 살펴보겠습니다.
1. 소프트웨어 공급망 보안의 핵심 개념
1.1 소프트웨어 아티팩트(Artifacts) 소프트웨어 아티팩트란 오늘날의 소프트웨어 시스템을 구성하는 각각의 컴포넌트를 말합니다. 이는 오픈 소스 프레임워크, 데이터베이스, 타사 소프트웨어 등 다양한 요소를 포함합니다. 이러한 아티팩트는 종종 외부 소스에서 가져와 사용되며, 아티팩트의 신뢰성은 전체 시스템의 보안성에 영향을 미칩니다.
1.2 소프트웨어 출처(Provenance) 소프트웨어 공급망 보안에서 '출처'는 소프트웨어 아티팩트가 어디서 왔는지, 누가 만들었고 누가 수정했는지 등을 추적하는 과정을 의미합니다. 이 출처를 정확하게 파악하는 것은 소프트웨어가 신뢰할 수 있는 상태임을 보장하는 중요한 요소입니다. 출처는 소프트웨어가 배포되기 전, 또는 설치된 후에 변조되지 않았음을 확인할 수 있는 유용한 정보입니다.
1.3 소프트웨어 서명(Software Signing) 소프트웨어 서명은 소프트웨어 아티팩트의 신뢰성을 증명하는 지문 같은 역할을 합니다. 이는 인터넷의 SSL 인증서와 유사하며, 소프트웨어가 출처가 확실하고 변조되지 않았음을 보장하는 수단으로 사용됩니다.
1.4 CVEs (Common Vulnerabilities and Exposures) CVEs는 공개된 소프트웨어 취약점을 중앙 집중화하여 관리하는 시스템입니다. 이는 MITRE Corporation에서 관리하며, CVE 목록은 개발자들이 보안 취약점을 빠르게 찾아내고 대응할 수 있도록 돕습니다.
1.5 SBOM (Software Bill of Materials) SBOM은 소프트웨어 패키지 내의 구성 요소 목록을 제공하는 개념입니다. 마치 음식에 사용된 재료 목록처럼, 소프트웨어 패키지에 포함된 라이브러리, 모듈, 아티팩트 등을 투명하게 보여주어 보안 위험을 사전에 파악할 수 있게 합니다.
1.6 빌드 시스템(Build Systems) 빌드 시스템은 소프트웨어 패키지와 코드베이스를 구성하는 모든 컴포넌트와 하위 컴포넌트입니다. 이 시스템이 안전하지 않으면, 공격자는 빌드 프로세스 자체를 악용하여 악성 코드를 삽입할 수 있습니다.
1.7 취약점 관리(Vulnerability Management) 취약점 관리는 보안 취약점을 발견하고 수정하는 전체 프로세스를 의미합니다. 이는 CVE를 기반으로 보안 결함을 발견하고, 이를 해결하기 위한 조치를 취하는 일련의 절차를 포함합니다.
2. 소프트웨어 공급망 보안과 관련된 오픈 소스 기술
2.1 Sigstore Sigstore는 소프트웨어 아티팩트를 서명하는 가장 인기 있는 오픈 소스 도구입니다. 이는 Kubernetes와 같은 주요 인프라 및 여러 프로그래밍 언어, 레지스트리에서 널리 채택된 '정품 인증' 표준입니다. Sigstore는 소프트웨어 공급망에서 아티팩트의 진위 여부를 확인하는 중요한 역할을 합니다.
2.2 Tekton Tekton은 클라우드 네이티브 CI/CD 플랫폼으로, Sigstore의 서명을 투명하게 기록하는 로그를 저장하는 역할을 합니다. Sigstore를 사용하려면 Tekton을 알 필요는 없지만, 두 도구는 상호 보완적으로 작동하여 공급망 보안을 강화합니다.
2.3 SLSA (Supply Chain Levels for Software Artifacts) SLSA는 소프트웨어 공급망 보안을 달성하기 위한 프레임워크로, 특정 정책과 모범 사례를 기반으로 합니다. 이 프레임워크는 빌드 환경을 보안하는 것이 첫 번째 단계이며, 점차적으로 보안 수준을 강화해 나가는 것을 목표로 합니다.
2.4 SSDF (Secure Software Development Framework) SSDF는 NIST(National Institute of Standards and Technology)에서 제시한 소프트웨어 공급망 보안에 대한 지침과 모범 사례입니다. SLSA와 밀접하게 연관되어 있으며, 개발자들에게 보안 중심의 소프트웨어 개발을 촉진합니다.
2.5 SPDX와 CycloneDX 이 두 가지는 SBOM을 생성하는 데 사용되는 주요 표준입니다. SPDX와 CycloneDX는 소프트웨어 패키지 내에서 사용된 모든 구성 요소를 명확하게 나타내어 보안을 강화하는 데 기여합니다.
3. 규제 및 법률 동향
소프트웨어 공급망 보안에 대한 관심이 높아지면서, 여러 정부 기관과 규제 기관은 이를 강화하기 위한 정책을 내놓고 있습니다.
3.1 미국 백악관의 사이버 보안 강화 행정명령(White House Executive Order on Improving the Nation's Cybersecurity) 2021년에 발표된 이 행정명령은 SBOM 개념을 대중화하며, '악의적인 사이버 캠페인'이 공공 및 민간 부문에 대한 위협임을 지적했습니다. 이 명령은 SBOM을 요구하는 방향으로 소프트웨어 보안 정책을 강화하는 주요 전환점이 되었습니다.
3.2 FedRAMP의 컨테이너 취약점 스캐닝 요구 사항 FedRAMP는 미국 연방 정부에서 사용되는 클라우드 제품의 보안을 검증하는 프로그램입니다. 최근에는 컨테이너 시스템에 대한 취약점 스캐닝을 필수 요건으로 지정하여, 컨테이너화된 시스템의 보안을 강화하는 노력을 이어가고 있습니다.
3.3 CISA의 보안 소프트웨어 자가 증명(Self Attestation) 미국 사이버 보안 및 인프라 보안국(CISA)은 소프트웨어 공급망 보안을 강화하기 위한 자가 증명 문서를 제안했습니다. 이는 소프트웨어 제공자가 해당 소프트웨어 및 그 내부에 포함된 모든 타사 구성 요소의 보안을 스스로 증명해야 하는 정책입니다. 앞으로 소프트웨어 공급망에 대한 규제와 책임이 점차 강화될 것으로 예상됩니다.
4. 개발자 워크플로우 강화를 위한 상업적 노력
최근 상업적인 노력도 개발자 워크플로우를 보호하고 강화하는 데 중점을 두고 있습니다. 그중 Chainguard Enforce는 다양한 기술들을 통합하여, 개발자와 보안팀이 공동으로 사용 가능한 툴체인을 제공하는 중요한 시도 중 하나입니다. 이 도구의 주요 기능으로는 자동 SBOM 생성, 일일 취약점 스캔 및 보고서 생성, 키리스 서명(keyless signatures) 등이 있습니다.
이와 같은 상업적 도구들은 기업 환경에서 소프트웨어 공급망을 더욱 안전하게 보호하기 위한 중요한 자원이 되고 있습니다.
소프트웨어 공급망 보안은 단순한 보안 패치 적용 이상의 노력을 요구합니다. 개발자와 보안 팀은 소프트웨어 아티팩트의 출처를 명확히 하고, 빌드 프로세스에서부터 생산 환경까지 보안 수준을 끌어올려야 합니다. 이를 통해 신뢰할 수 있는 소프트웨어를 제공하고, 외부 위협에 대한 방어력을 강화할 수 있습니다. 앞으로 소프트웨어 공급망 보안은 더욱 중요해질 것이며, 이를 대비하는 것이 개발자와 기업 모두에게 필수적입니다.
'SW > 소프트웨어공학' 카테고리의 다른 글
| 데이터 스트리밍 현황: 2023년을 탐구하다 (0) | 2024.10.31 |
|---|---|
| 소프트웨어 개발을 위한 상위 10개 프로그래밍 언어 (0) | 2024.07.12 |
| 소프트웨어 개발 학위 없이 배우기: 성공적인 여정을 위한 전략과 자원 (0) | 2024.06.28 |
| 유용한 소프트웨어를 작성하는 것이 항상 어려운 이유 (0) | 2023.12.12 |
| 1-2. 소프트웨어에 대한 인식의 중요성 (0) | 2019.11.15 |