[산업일보]
소프트웨어를 개발해 고객에게 전달하려면 코드 작성, 빌드, 패키지, 배포, 사용까지 복잡한 공급망을 거친다. 이를 모두 관리하기가 쉽지 않아 최근 해커들이 소프트웨어 공급망을 통해 공격을 가하는 사례가 늘고 있다.
이주호 자이온아이티에스 DT사업부 팀장이 19일 서울 코엑스에서 개막한 'ISEC 2023(제17회 국제 시큐리티 콘퍼런스)'에 연사로 참여해 SBOM과 CVE 결합으로 얻을 수 있는 소프트웨어 보안 이점을 소개했다.
소프트웨어 공급망이 취약한 것은 개발 방식과 관련 있다. 소프트웨어는 다양한 컴포넌트를 활용해 개발하는데, 단일 벤더가 모든 기능을 독자 개발하려면 시간과 비용이 많이 든다. 때문에 이미 시장에 존재하는 오픈소스 컴포넌트를 활용하는 것이다.
공급자가 소프트웨어 전체를 직접 개발하지 않기 때문에 문제를 신속하게 찾아 해결하는 것이 거의 불가능하다. 더구나 소프트웨어 버전도 수시로 바뀌어 관리도 복잡하다. 이것이 해커가 노리는 포인트다.
SBOM(Software Bill of Material, 소프트웨어 자재 명세서)은 소프트웨어의 구성요소, 버전, 출처 등을 포함한 소프트웨어의 상세 내역, 개별 컴포넌트 정보 등 소프트웨어의 모든 항목을 확인할 수 있는 도구다.
컴포넌트의 종류와 버전정보를 확인해 취약한 컴포넌트인지 직관적으로 확인하고, 보안조치와 패치 계획을 세워 잠재 위험으로부터 시스템을 보호할 수 있다.
CVE(Common Vulnerabilities and Exposure)는 소프트웨어 보안취약점을 가리키는 고유 표기다. 세계적으로 통일된 식별자를 제공해 각각의 보안 취약점을 명확히 구분하고, 다양한 시스템과 데이터베이스 간의 정보교환을 수월하게 한다.
SBOM과 CVE를 결합하면 사내 모든 소프트웨어의 구성요소를 SBOM으로 식별하고, 해당 버전과 컴포넌트가 취약한지 직관적으로 알아볼 수 있다. 취약점이 발견되면 CVE로 해당 취약점을 분석해 대응 및 조치까지 이어진다.
이주호 팀장은 “어떤 소프트웨어가 어떤 컴포넌트를 사용하는지 명확히 파악하고, 취약한 부분에 집중 조치할 수 있다”면서 “취약점의 심각도를 고려해 우선순위를 배치하는 등 리스크 감소 계획을 체계적으로 수립할 수 있다”라고 설명했다.
또한, “개별 컴포넌트 단위에서 벗어나 모든 것을 종합적으로 관리해 시스템 전반에 걸친 보호체계를 구축할 수 있다”라고 의의를 밝혔다.