보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

지피지기면 백전백승! SW 공급망 보안을 위한 SBOM

2024.04.03

536

옷을 사면서 옷의 소재를 확인하고, 외식하거나 장을 볼 때 음식의 원산지를 확인하는 건 우리에게 있어 무척 자연스러운 일이다. 어디서 만들어졌고 또 어떻게 만들어졌는지가 상품의 질에 적지 않은 영향을 주는 것은 물론, 이를 통해 해당 상품을 보다 정확히 파악할 수 있기 때문이다. 패딩이라고 다 같은 패딩이 아니고 소고기라고 다 같은 소고기가 아닌 것처럼 말이다. 이와 같은 맥락으로, 최근 IT 업계에서도 소프트웨어(SW) 제품의 세부 정보를 담은 명세서를 활용하고자 하는 움직임이 일어나고 있다. 이를 소프트웨어 자재명세서, 또 다른 말로는 SBOM(Software Bill of Materials)이라고 한다.

01. SBOM을 바라보는 업계의 시선

SBOM은 소프트웨어를 이루는 전체 구성 요소에 대한 세부 정보를 담은 문서다. 라이브러리, 프레임워크, 모듈 등 하나의 소프트웨어가 만들어지는 데 사용된 여러 요소들에 대한 상세 정보와 더불어 각 요소의 공급망 관계까지 알 수 있는 체계적이고도 공식적인 기록이다.

공산품과 달리 소프트웨어는 버전이 수시로 업데이트되고 또 변경되기 때문에 관리가 매우 까다롭다. 더욱이 많은 요소들이 서로 종속되어 있는 경향이 있어 작은 변화에도 크게 영향을 받는다. SBOM은 이렇듯 얼기설기 복잡하게 얽혀있는 여러 구성 요소들을 목록화하고 가시화하여, 소프트웨어 제품을 보다 쉽게 파악하고 관리할 수 있도록 도와주는 역할을 한다.

[그림 1] 소프트웨어 자재명세서(SBOM) (출처: TTA Journal)

SBOM이 주목받기 시작한 건, 소프트웨어의 복잡도가 급격히 높아지면서부터다. 최근 소프트웨어 개발 과정에서 오픈소스 활용 비중이 높아짐에 따라, 전 세계적으로 소프트웨어 공급망을 노린 공격이 급증하고 있다. 오늘날의 소프트웨어는 전국적인 범위를 넘어 전 세계로 연결되는 추세 속에, 공급망 공격의 파급 효과는 더욱 연쇄적이고 강력해졌다. 솔라윈즈(SolarWinds), 카세야(Kaseya), 로그포제이(Log4j)가 그 대표적인 예이다.

‘지피지기면 백전백승’이라는 말이 있듯이 소프트웨어에 사용된 모든 구성 요소를 쉽게 식별하고 추적할 수 있는 SBOM은 소프트웨어 공급망 보안 위험을 최소화하는 데 적극 활용될 것으로 기대받는다. 지난 2021년 미국 바이든 정부는 ‘국가 사이버 보안 개선에 관한 행정명령(EO-14028)’을 발표하면서 연방정부에 조달한 소프트웨어 제품에 대한 SBOM 제출을 의무화했다. 소프트웨어 공급망 보안을 위한 예방적인 접근법으로써 SBOM이 본격 거론되기 시작한 것이다.

더 나아가 글로벌 시장조사기관 가트너(Gartner)는 2025년까지 세계 60%의 기업이 공급망 보안 공격에 대비하게 될 것이라 바라봤으며, 또 다른 시장조사기관 마켓앤마켓(Markets and Markets)은 세계 SBOM 시장이 2020년 14억 달러에서 2025년 44억 달러 규모로, 연평균 24.5%의 성장률을 보이며 빠르게 성장할 것이라 전망했다.

02. SBOM을 향한 기업의 움직임

이렇듯 SBOM의 중요성이 한층 부각되면서, 관련 시장을 선점하기 위한 기업들이 속속 등장하고 있다. SBOM 시장은 소프트웨어 구성 분석, 취약점 관리, SBOM 생성 및 관리 등의 세부 분야로 나눠볼 수 있는데 결론적으로는 소프트웨어 구성 요소의 정확한 파악을 가능하게 하면서, 보안 취약점을 빠르게 식별 및 관리하고, 공급망의 안정성을 강화하는 데 도움을 주는 도구들을 포함한다.

소프트웨어 구성 분석(Software Composition Analysis, SCA) 솔루션의 대표 주자라고 할 수 있는 시높시스(Synopsys)의 블랙덕(Black Duck)은 소프트웨어 개발 시 사용된 오픈소스를 식별하고, 식별된 오픈소스의 보안 취약점과 라이선스를 점검하는 도구다. 국제 표준인 SPDX(Software Package Data eXchange), 사이클론DX(CycloneDX) 형식의 SBOM 생성 기능도 제공하면서, 오픈소스 사용 시 발생할 수 있는 공급망 취약성에 대한 지속적인 관리를 지원한다.

[그림 2] 시높시스의 ‘블랙덕(Black Duck)’ (출처: Synopsys)

파수 자회사 스패로우는 오픈소스 관리 도구 ‘스패로우 SCA(Sparrow SCA)’를 통해 SBOM 자동 생성을 지원한다. 스패로우 SCA를 통해 생성되는 SBOM에는 SPDX, CycloneDX, SWID 태그 형식이 사용되며, 상세한 소프트웨어 구성 컴포넌트 정보를 모두 포함한다. 이에 더해 사용 중인 오픈소스 라이선스 식별과 보안 취약점 진단, 소스코드 및 바이너리 파일 분석 등 다양한 형태의 분석 기능도 제공하면서 보다 효율적인 소프트웨어 공급망 관리를 돕는다.

[그림 3] 스패로우의 ‘스패로우 SCA(Sparrow SCA)’ (출처: 스패로우)

소프트캠프 자회사 레드펜소프트는 지난해 ‘엑스스캔(XSCAN)’을 출시했다. 엑스스캔은 리버스 엔지니어링을 통해 SBOM을 자동 생성하고 소프트웨어 구성 요소를 분석, 공격에 악용될 가능성을 진단하는 소프트웨어 공급망 보안 솔루션이다. 외주 개발사나 오픈소스 등 외부에서 가져온 코드에 잠재된 취약점은 없는지, 업데이트된 파일이 이전 버전과 어떤 차이가 있으며 또 문제가 될만한 부분은 없는지 등을 살피고 이상 징후 감지 시 개발사에 소명을 요청하거나 해당 위협을 제거 또는 완화하는 조치를 취한다. 최근에는 챗GPT를 적용해 탐지된 위협에 대한 자연어 기반의 설명과 대응책을 함께 제시해 주고 있다.

[그림 4] 레드펜소프트의 ‘엑스스캔(XSCAN)’ (출처: 레드펜소프트)

이글루코퍼레이션 자회사 코드마인드의 ‘해터 SCA(Hatter SCA)’는 소프트웨어 개발 프로젝트에서 사용된 오픈소스를 식별하고, 이에 대한 SBOM을 생성해 주는 오픈소스 관리 솔루션이다. 오픈소스 소프트웨어에 사용된 모든 구성 요소를 SPDX 형식의 SBOM으로 제공해 주면서, 내재된 보안 취약점의 검출 및 라이선스 식별을 도와준다.

[그림 5] 코드마인드의 ‘해터 SCA(Hatter SCA)’ (출처: 코드마인드)

03. SBOM에 대처하는 국가의 자세

앞서 언급한 미국뿐 아니라 유럽연합(EU), 일본, 중국, 프랑스, 영국 등 다수의 국가들이 SBOM을 토대로 한 소프트웨어 공급망 보안 정책 마련에 열을 올리고 있다. EU 집행위원회는 유럽에 납품되는 디지털 제품에 대해 SBOM 작성을 의무화하는 ‘사이버 복원력 법안(Cyber Resilience Act)’을 제안했으며, 일본은 경제산업성 중심으로 전담 TF를 구성해 SBOM 생태계 확산을 위한 제도화 방안 등을 도모하고 있다. 미국의 주도하에 SBOM에 대한 요구가 전 세계로 확산되면서, 어쩌면 향후 소프트웨어 수출에 있어 무역 장벽으로 작용할 여지까지 생겼다.

이러한 기조에 발맞춰 국내에서도 소프트웨어 공급망 강화를 위한 SBOM의 도입이 본격화되고 있다. 지난 2022년 과학기술정보통신부는 국가/공공 및 민간 전문가들이 참여하는 ‘SW공급망보안포럼’을 발족해 실효성 있는 공급망 보안 체계 구축을 위한 논의를 지속해 왔다. 더 나아가 최근에는 국가안보실이 ‘국가사이버안보전략’ 핵심 전략 과제에 ‘범국가적 차원의 ICT 공급망 보안 정책 및 대응 체계 확립’을 포함하면서, 기존의 공급망 보안 제도와 소프트웨어 관리 체계를 강화하는 데 정식 돌입했다.

현재 국가정보원과 과학기술정보통신부는 'ICT 공급망 보안 가이드라인' 제작에 착수했으며, 이는 오는 3월 중 공개될 계획이다. ICT 제품별로 상이한 SBOM을 표준화해 체계적인 대응이 가능하도록 지원하고, ICT 제품의 SBOM 정보를 자동 분석할 수 있는 시스템 개발을 추진하며, 개발·유통·운영의 공급망 단계별 체크리스트를 마련하는 등 보다 구체적인 보안 지침이 포함될 것으로 알려졌다.

[그림 6] ICT 공급망 보안 가이드라인 목차 (출처: 국가정보원)