정보마당

Home > 정보마당 > 공개SW 활용 가이드 > 공개SW 가이드/보고서

공개SW 가이드/보고서

[6월 월간브리핑]오픈소스SW 공급망 성숙도 및 관리 동향

support 게시글 작성 시각 2024-06-25 13:44:46

오픈소스SW 공급망 성숙도 및 관리 동향

- Open UP -

기업들은 오픈소스SW 사용 증가, 규제 준수 요구, 생성 AI 등장 등 급변하는 소프트웨어 공급망 환경에 대응해야 함
1. 안전하고 효율적인 소프트웨어 공급망 구축을 위한 오픈소스SW 구성 요소 식별 및 의존성 관리, SBOM 채택, 취약점을 해결하는 통합 개발 프로세스 구현 등의 필요성 증가
  1. 2023년에는 2019~2022년을 합친 것보다 두 배나 많은 소프트웨어 공급망 공격이 발생하였으며 기업 개발 환경에 AI/ML의 채택은 135% 증가함
  2. 최적의 의존성 관리(dependency management)를 수행할 때 개발 기간 및 비용을 절약하고 보안 위험을 감소시키는 등 효율성이 2배 향상됨

소프트웨어 생태계 변화에 대응하는 안전하고 효율적인 소프트웨어 공급망 구축을 위해 SBOM에 대한 수요 증가

기업들은 급변하는 소프트웨어 공급망 환경에서 보안 위협 완화와 효율성 증진을 위해 오픈소스 사용 증가, 규제 준수 요구, 생성 AI 등장 등을 고려해야 함

기업들의 95%가 최근 1년간 오픈소스SW의 사용이 증가 또는 유지하였으며, 그 중 33%는 사용량이 크게 증가 ('24 Openlogic)
9th Annual State of the Software Supply Chain('23 Sonatype) 보고서에 따르면, 2023년에는 2019~2022년을 합친 것보다 두 배 많은 소프트웨어 공급망 공격이 발생
2023년 기업의 개발 환경 내에서 AI/ML의 채택이 135% 증가
1. SecOps(82%)와 DevOps(79%)는 테스트와 분석에 AI를 사용했다고 응답
주요 국가들은 증가하는 사이버 위협에 대응하기 위해 오픈소스 및 소프트웨어 공급망 보안을 위한 정책들을 시행하고 있음
1. 미국 : ‘국가 사이버 보안 향상에 관한 행정명령(EO 14028)’을 통해 소프트웨어 보안을 위한 SBOM 제출 의무화 발표('21.05)를 시작으로 국가 사이버 보안 전략 (NCS) 시행, 오픈소스 소프트웨어 보안법, AI 국가 안보법('23.03)과 국방부의 사이버 전략('23.07), CISA의 오픈소스 소프트웨어 보안 로드맵('23.09) 등을 진행
2. 유럽연합(EU) : 유럽 내에서 유통되는 디지털 요소를 가진 제품의 SBOM 제출을 요구하는 사이버복원력법(Cyber Resilience Act, CRA)을 확정하고 2027년부터 시행 예정('23)
3. 일본 : 경제산업성(METI) 은 ‘소프트웨어 관리를 위한 SBOM의 도입에 관한 안내서의 첫 번째 버전 공개('23.07)하고 계약 규정 사항 도입 효과 등 복잡한 공급망에 대응하는 지침이 추가된 두 번째 버전도 공개('24.05)
4. 캐나다 : 국가 사이버 위협 평가 2023-2024를 발표('22.10)하여 국가 사이버 위협 영향 강조, 사이버 보안 센터에서는 ‘소프트웨어 공급망 위협으로부터 조직 보호(Protecting Your Organization from Software Supply Chain Threats)’라는 문서를 발표발표('23.02)
5. 호주 : 사이버 보안 센터(ACSC)는 ‘사이버 보안 위험의 균형 이동: 설계 및 기본 보안에 대한 원칙 및 접근 방식’을 발표('23.04), Quad 사이버 보안 파트너십('23.05)을 통해 미국, 일본, 인도와 소프트웨어 보안 강화 협력

미국의 EO 14028은 SBOM을 공공기관과 거래하는 소프트웨어에만 요구하는 것과 비교하여 EU 사이버복원력법의 SBOM 제공 대상이 공공과 민간을 구분하지 않고 유럽 내 유통되는 모든 제품으로 규정함

[표] 미국 EO 14028과 EU 사이버복원력법의 차이점

항목	미국의 EO 14028	EU 사이버복원력법
적용 대상	연방 정부와 계약하는 소프트웨어 공급업체	민간 및 공공 구분 없이 유럽 내 유통되는 모든 소프트웨어 제품
법적 구속력	연방 정부와 계약할 경우만 SBOM 의무화	각국 규제 당국의 감독 하에 법적 제재 가능
구성 요소 및 라이선스	각 구성 요소의 이름, 버전, 라이선스, 빌드 정보, 출처 정보를 포함	각 구성 요소의 식별자(CPE, SWID), 버전, 라이선스, 구성 요소의 신뢰성, 무결성 검증 정보 포함
공급망 정보	소프트웨어 공급망 정보 및 보안 이력 포함	취약점 정보 (예: CVE) 포함
정기 업데이트	정기적인 SBOM 업데이트 필요. 보안 패치나 업데이트 시 신속한 반영	주기적인 업데이트 요구 사항 없음. 그러나 구성 요소의 보안 위험 평가 및 잠재적 영향 정보 미리 포함 시켜야함
신뢰성 및 무결성 검증	구체적 요구사항 없음	구성 요소의 신뢰성 및 무결성 검증 정보 포함
가이드라인 지원 당국	미국 국립표준기술연구소(NIST)	유럽 네트워크 및 정보보안국(ENISA)

유럽연합 CRA의 강도 높은 규제가 많은 오픈소스SW 프로젝트 및 배포자들에게 걸림돌로 작용할 수 있으며 일부는 오픈소스SW에 대한 참여를 EU 내에서 완전히 억제할 수도 있다고 분석하기도 했음
1. 시행 전 법 조항 일부 변경이 이루어졌으며 개정된 법안에서는 처벌이 면제되는 오픈소스 프로젝트 관련 사항을 좀 더 명확히 하였음

소프트웨어 공급망에 대해 책임을 지도록 하는 규제 시행 후 소프트웨어 재료 명세서(SBOM) 채택 증가
- 1. SBOM은 소프트웨어 애플리케이션의 다양한 구성 요소와 의존성을 간략하게 설명해주는 것으로, 오픈소스 및 타사 라이브러리를 포함한 소프트웨어 빌딩 블록의 자세한 목록과 해당 버전을 제공하여 소프트웨어 공급망을 이해하고 관리하는 데 중요한 리소스 역할을 함
- SBOM은 소프트웨어 구성에 대한 투명성과 가시성을 제공하여 효율적인 위험 관리 및 취약성 대응을 강화하며 효과적인 소프트웨어 유지 관리를 지원
- 미국의 EO 14028 시행된 이후 대다수의 기업이 SBOM을 채택(76%) 또는 도입 계획 중(16%)
- 기업들은 소프트웨어 개발을 위해 취약점 스캔(30%), 소프트웨어 구성 분석(24%), 공급망 자동화(23%), 위협 인텔리전스(22%), 버그 현상금 프로그램(20%) 등 소프트웨어 공급망 관리를 개선하기 위한 기술에 많은 투자 중이며,
- 직원 교육 및 인식(26%), 개발자 인재 채용(21%), 공급망 위험 평가 프로세스(24%)와 같은 기술 및 운영에 대한 투자도 증가
- SBOM 관련 설문조사 응답을 살펴보면, 절반 이상(52.6%)이 모든 애플리케이션에 대한 SBOM를 생성하고 있다고 응답
  3. [SBOM 관련 설문조사 응답]
  4. ※ 출처 : 9th Annual State of the Software Supply Chain(Sonatype, 2023)
- 42.1%는 소비자가 자사 소프트웨어에 대해 SBOM을 요청하고 있으며 38.2%는 구매한 소프트웨어에 대한 SBOM을 공급업체에 요청하기 시작
  1. 거의 절반의 응답자가 구매한 소프트웨어에 대한 SBOM을 공급업체에 요청하기 시작, 이는 소프트웨어 공급망의 투명성 향상에 대한 수요가 높아지고 있음을 나타냄
기업은 소프트웨어 안정성을 향상시키고 보안 사고 예방을 위해 오픈소스SW 위험 관리 필요성 증가
- 취약점이 있는 오픈소스 다운로드의 96%는 수정된 버전이 이미 존재하나, 다양한 오픈소스 구성 요소의 상태에 대한 모니터링 및 업데이트 소홀로 심각한 보안 문제 초래
  1. '23 Sonatype의 보고서에 따르면 약 67%는 자사 애플리케이션이 알려진 취약 라이브러리에 의존하지 않는다고 확신하지만 약 10%는 지난 12개월 동안 오픈소스 취약점으로 인한 보안 침해가 발생했다고 보고
  2. 또한, 기업의 22%만이 공개 하루 이내에 새로운 오픈소스 취약점을 인지하고 있으며 39%는 취약점을 완화하는 데 1주일 이상 소요됨
- 오픈소스SW의 사용이 증가하면서 오픈소스SW 구성 요소를 식별 및 추적하여 취약점을 해결하는 통합 개발 프로세스 구현이 필요
  1. 과거 오픈소스SW 라이브러리에 대한 위험정보를 외부 보고서에서 제공하는 것에 의존(14.5% 감소)했다면 최근에는 위험 정보를 CI(지속적 통합) 및 빌드 프로세스에 통합(9.8% 증가)하여 자동화된 방식의 위험 관리를 진행하는 추세임
- 최적의 의존성 관리(dependency management)를 수행할 때 개발 기간과 비용을 절약하고 보안 위험을 감소시키는 등 효율성이 2배 향상됨
  1. 의존성 업그레이드를 실시하는 경우 응답자의 애플리케이션의 기능을 항상/자주 손상시키는 비율은 9.6% 감소하였고, 거의 또는 전혀 손상되지 않는 비율은 4.6% 증가

주목할 만한 월간 이슈(6월)
- (자동차) 폭스바겐 카리아드(CARIAD), 오픈소스 선언문 발표
  1. 폭스바겐 그룹의 소프트웨어 사업부 카리아드(CARIAD)가 SDV(Soft-Defined Vehicle) 개발 가속화를 위한 오픈소스 선언문 발표
  2. 차량 개발의 패러다임이 소프트웨어 우선 접근 방식으로 전환됨에 따라 다양한 배경과 조직의 개발자가 자동차를 구동하는 소프트웨어에 기여 및 개선하고 협업 환경을 조성하는 오픈소스는 SDV에 특히 중요
  3. 카리아드 오픈소스 선언문에는 오픈소스 커뮤니티와의 협업을 통해 업계 전반의 협력을 촉진하고 직원들이 오픈소스 프로젝트에 기여하도록 장려하며 투명성을 보장하여 조직 전체에 오픈소스 가치를 홍보한다는 내용을 포함
  4. 최고 소프트웨어 책임자 산제이 랄은 오픈소스를 활용하여 자동차 소프트웨어 영역 내에서 개방형 솔루션을 채택하고 개발하는 것을 목표로 하며, 이를 통해 더욱 스마트하고 안전하며 지속 가능한 차량 제작을 위한 최첨단 기술을 발전시키고 상호 운용성 향상, 신규 기능의 출시 기간 단축 등이 가능하다고 강조
- (로봇) 로봇 시각·언어·행동 통합 첫 오픈소스 모델 'VLA' 등장
  1. 스탠포드 대학교, UC 버클리 대학교, 구글 딥마인드, MIT 등의 연구진이 특별한 훈련 없이도 새로운 작업을 수행할 수 있도록 하는 최초의 오픈소스 시각-언어-행동(VLA) 모델 ‘오픈VLA(OpenVLA)’에 관한 논문을 아카이브에 게재
  2. 오픈VLA는 일반적인 언어 모델이 웹 데이터를 통해 아이디어와 개념을 학습하는 방식과 같이 웹에서 가져온 텍스트와 이미지를 사용해 다양한 현실 세계 개념을 이해하고 이 지식을 로봇 행동에 대한 일반화된 지침으로 변환함
    1. 이전에는 로봇에게 쓰레기를 버리도록 훈련시키는 것은 단순히 로봇에게 쓰레기를 식별하는 것과 쓰레기를 주워서 버리는 것을 훈련시키는 것만을 의미
    2. 웹 데이터를 훈련한 VLA를 사용하면 모델은 이미 쓰레기가 무엇인지에 대한 일반적인 개념을 가지고 있어 구체적인 훈련 없이도 쓰레기를 식별하며, 행동을 취하도록 훈련받은 적은 없지만 쓰레기를 어떻게 버리는지에 대해서도 알 수 있음
  3. 오픈소스 모델인 오픈VLA의 릴리스 코드는 깃허브에서 공개적으로 사용할 수 있으며, 모델 체크포인트는 허깅페이스에서 사용 가능
- (AI법) 美 캘리포니아주 AI법 시동에 오픈소스 진영 반발
  1. 미국 캘리포니아주 의회는 AI 법 제정을 위해 오는 8월 AI 법을 표결한다고 밝힘
  2. 주요 내용은 크게 두 가지로, ▶ AI 기업은 생물학·핵 무기를 만들거나 사이버 보안 공격을 지원하는 등 ‘위험한 능력’을 가진 모델을 개발하지 않겠다고 주 정부와 약속해야 한다는 것과 ▶ 개발자는 안전 테스트 결과를 보고해야 하며, AI가 특정 위험에 대한 임계치를 넘을 경우 중단시킬 ‘킬 스위치’를 도입해야 한다는 것임
    1. 캘리포니아주에 오픈AI, 구글, 메타, 애플과 같은 빅테크 기업이 즐비하여 AI 업계 비상
    2. 특히, 메타처럼 오픈소스로 AI 모델을 배포하는 기업은 오픈소스로 배포한 AI 모델을 어느 기업이 어떠한 용도로 사용할지 모르기 때문에 애매한 상황에 놓이게 됨
    3. 이 AI법은 CAIS(Center for AI Safety)라는 단체가 주도하고 있으며 해당 법이 캘리포니아주 의회를 통과할지는 좀 더 지켜봐야 할 것
- (AI) 엔비디아, LLM 학습용 합성 데이터를 생성하도록 설계한 모델 ‘네모트론-4(Nemotron-4) 340B'를 공개
  1. 엔비디아가 고품질 합성 데이터를 생성하는 3,400억 매개변수의 모델 네모트론-4 340B 베이스(Base)/인스트럭트(Instruct)/리워드(Reward)를 오픈소스로 출시
    1. 고품질의 훈련 데이터는 LLM 성능을 높이는 데 중요하며 상당한 비용과 접근성 문제가 따르지만 네모트론-4 340B는 허용 가능한 오픈모델 라이선스를 통해 합성 데이터 생성이 가능, 이런 문제를 해결한다는 설명
  2. 네모트론-4 340B는 9조 토큰을 사용해 사전 훈련했으며, 4000토큰의 컨텍스트 창을 제공하고 50개 이상의 언어와 40개 프로그래밍 언어를 지원
  3. 특히 상업적 용도로 사용 가능하며 표준 API를 갖춘 엔비디아 NIM 마이크로서비스로 제공될 예정
- (보안) 과기정통부 제1차 SW 공급망 보안 포럼 개최, 가이드라인 확산 방안 논의
  1. 과학기술정보통신부는 한국인터넷진흥원(KISA), 정보통신산업진흥원(NIPA)과 2024년도 제1차 SW 공급망 보안 포럼을 열고 SW 공급망 보안 가이드라인의 체계적인 확산방안 논의
    1. SW 공급망에 대한 사이버위협에 체계적으로 대응하기 위해 과기정통부와 KISA는 2022년 10월 ‘SW 공급망 보안 포럼’을 발족
  2. 산·학·연·관 전문가를 중심으로 가이드라인의 주요 내용 공유 및향후 정부·공공 및 기업 등 다양한 환경에 효과적으로 확산하기 위한 방안을 논의하는 자리로 마련
  3. 특히 보안 전문인력과 초기 투자 비용이 부족한 중소기업 등에 대한 지원방안, SBOM 및 SW 개발 환경 보안점검 목록의 활용 방안 등 상세 정보를 공유하고 향후 발전 방향 논의

시사점
- 기업들은 오픈소스 사용 증가, 규제 준수 요구, 생성 AI 등장 등을 고려하여 안전하고 효율적인 소프트웨어 공급망을 구축할 수 있음
- 주요 국가들은 증가하는 사이버 위협에 대응하기 위해 오픈소스 및 소프트웨어 공급망 보안을 위한 정책들을 시행하고 있음
- 규제 시행 후 기업들의 소프트웨어 재료 명세서(SBOM) 채택 증가하였으며 소프트웨어 공급망 관리를 개선하기 위한 기술에 많은 투자 중
- 오픈소스SW 위험에 대한 관심과 인식이 증가하고 있지만 기업은 이러한 위험을 효과적으로 완화하기 위한 모범 사례를 구현하는 데 있어 어려움을 겪고 있음

※ 참고 Reference

오픈소스 공급망 보안 정책의 중심 ‘SBOM’, 공개SW포털, 2024.06.25
https://www.oss.kr/oss_guide/show/49b93bf6-6c33-48a9-aae8-7494ab8b29ca
SBOM을 효율적으로 관리하기 위한 방안, 공개SW포털, 2024.06.25
https://www.oss.kr/oss_guide/show/9d25996e-ade5-47af-9406-5b99bd03f10f
Sonatype’s 9th Annual State of the Software Supply Chain Report Reveals Ways to Improve Developer, DevSecOps Efficiency, sonatype, 2023.10.03.,
https://www.sonatype.com/en/press-releases/sonatype-9th-annual-state-of-the-software-supply-chain-report
9th Annual State of the Software Supply Chain, sonatype, 2023.10,
https://www.sonatype.com/state-of-the-software-supply-chain/
ICT 해외진출가이드_일본 소프트웨어, NIPA 글로벌 ICT 포털, 2024.06.14.,
https://www.globalict.kr/upload_file/kms/202406/7821282220348749.pdf
폭스바겐 카리아드, 오픈 소스 선언문 발표, 글로벌오토뉴스 2024.06.17.,
http://global-autonews.com/bbs/board.php?bo_table=bd_033&wr_id=1134
Reinforcing Open Source activities to foster innovation and progress, CARIAD, 2024.06.11.,
https://cariad.technology/de/en/news/stories/cariad-open-source-manifesto.html
제1차 SW 공급망 보안 포럼…과기정통부 “가이드라인 확산안 논의”, ITBizNews, 2024.05.30.,
https://www.itbiznews.com/news/articleView.html?idxno=135586
美 캘리포니아주 AI법 시동에, 오픈소스 진영 반발, 미라클아이, 2024.06.09.,
https://www.mk.co.kr/news/it/11036916
엔비디아, 합성 데이터 생성하는 ‘네모트론-4 340B’ 출시..."비용 문제 해결한 오픈 소스 최강 성능",AI타임스, 2024.06.16.,
https://www.aitimes.com/news/articleView.html?idxno=160651
로봇 시각·언어·행동 통합 첫 오픈 소스 모델 'VLA' 등장.."기존 구글 RT-2 능가",AI타임스, 2024.06.19.,
https://www.aitimes.com/news/articleView.html?idxno=160754
공개SW 포털(oss.kr) ‘공개SW 소식’ 참조

Open UP에 의해 작성된 이 저작물은 크리에이티브 커먼즈 저작자표시-비영리-변경금지 2.0 대한민국 라이선스에 따라 이용할 수 있습니다.

번호	제목	작성자	조회수	작성
공지	[2024년] 오픈소스SW 라이선스 가이드 개정판 발간 file	support	6387	2024-01-03
공지	[2024년] 기업 오픈소스SW 거버넌스 가이드 개정판 발간 file	support	5082	2024-01-03
공지	[2024년] 공공 오픈소스SW 거버넌스 가이드 개정판 발간 file	support	5037	2024-01-03
공지	공개 소프트웨어 연구개발(R&D) 실무 가이드라인 배포 file	support	17477	2022-07-28
공지	공개소프트웨어 연구개발 수행 가이드라인 file	OSS	16378	2018-04-26
498	[6월 월간브리핑]오픈소스SW 공급망 성숙도 및 관리 동향	support	391	2024-06-25
497	[기고]SBOM을 효율적으로 관리하기 위한 방안	support	395	2024-06-25
496	[기획기사]오픈소스 소프트웨어 공급망 보안 정책의 중심 ‘SBOM’	support	276	2024-06-25
495	[5월 월간브리핑]오픈소스SW, 클라우드 네이티브 생태계 성장 동력	support	922	2024-05-27
494	[기고] 모두가 이야기하지만 일부만 아는 클라우드 네이티브하다는 것에 관하여	support	2204	2024-05-27
493	[기획기사]오픈소스가 이끄는 클라우드 네이티브 혁신	support	1271	2024-05-27
492	오픈소스SW 라이선스 컴플라이언스의 중요성과 당면 과제	support	969	2024-05-27
491	[4월 월간브리핑]오픈소스SW 기업의 라이선스 모델 전환 이슈 : 주요 논쟁과 전망	support	639	2024-04-24
490	[기획] 오픈소스SW의 경제적·사회적 가치 분석 : 기업 내 사용 현황 및 도전 요인	support	493	2024-04-24
489	오픈소스SW 라이선스 준수 체크리스트 – GPL, AGPL	support	573	2024-04-24