정보마당

Home > 정보마당 > 공개SW 활용 가이드 > 공개SW 가이드/보고서

공개SW 가이드/보고서

[7월 월간브리핑]가트너, 소프트웨어 공급망 보안 관리를 위한 방안 제시

support 게시글 작성 시각 2024-07-29 11:04:43

가트너, 소프트웨어 공급망 보안 관리를 위한 방안 제시

- Open UP -

가트너, 소프트웨어 공급망 공격으로 인한 비용이 ‘23년 460억 달러에서 ‘31년 1,380억 달러로 200% 증가할 것으로 추정
1. 소프트웨어 개발부터 도입·운영 전반에 걸친 취약점 점검 및 위협을 식별하고 완화하는 프로세스를 통한 관리가 필요
  1. 신뢰할 수 있는 자동화된 소프트웨어 구성 분석 및 큐레이션 도구와 VEX(Vulnerability Exploitability eXchange, 취약점 악용 가능성 교환) 공개, SBOM(소프트웨어 재료 명세서) 등을 통해 지속적으로 리스크 관리 필요
  2. 내부 개발 및 외부 도입 애플리케이션 모두 바이너리 검증과 같은 기술을 통해 사용되는 종속성(오픈소스 및 상용)을 추적하여 잠재적으로 영향을 받는 시스템을 신속하게 식별 필요
  3. 라이선스 요구 사항이나 법률 및 규정에 대한 위반 등 문제가 발생하지 않도록 먼저 법적인 절차 확인 필요
NIPA, 지난 7월 13일 서울 강남 과학기술회관에서 참여·공유·협업 방식의 오픈소스 문화를 경험하고 오픈소스 프로젝트에 기여할 수 있는 ‘2024 오픈소스 컨트리뷰션 아카데미 참여형 프로그램’의 발대식 진행

디지털 전환이 가속화되고 오픈소스SW는 산업의 핵심 축으로 자리매김, 소프트웨어 공급망 보안 관리에 대한 중요성 더욱 증가
- 전 세계적으로 소프트웨어 공급망과 애플리케이션 보안 위험에 적극적으로 대응하기 위해 법률 및 규제와 지침이 강화되고 있음
  - 소프트웨어 공급망 보안에 대해 미국 행정명령 14028, 오픈소스 소프트웨어 보안법, EU 사이버복원력법, 영국 GCHQ 국립 사이버 보안 센터 지침 등 다양한 글로벌 법률, 규정과 지침이 마련되고 있음
  - 이러한 규제 변화에 대응하여 기업의 3곳 중 2곳은 소프트웨어 공급망 보안 계획을 수립했거나 수립중인 것으로 나타남(‘23 Gartner)
  - 기업들의 소프트웨어 공급망 보안 계획 수립에 대한 노력에도 불구, 다양한 사건과 지표를 보면 이러한 노력들이 조직 전체에 걸쳐 반영되지 않아 보안의 심각한 격차를 해결하지 못한 것으로 나타남
- 이와 관련하여 지난 6월 가트너는 ‘소프트웨어 공급망 보안을 위한 리더 가이드’라는 새로운 보고서를 통해 기업들은 소프트웨어 공급망을 강화하기 위해 더 많은 노력을 기울여야 한다고 강조
- 가트너 ‘소프트웨어 공급망 보안을 위한 리더 가이드’의 주요 핵심 사항
- 1) 소프트웨어 공급망 보안에 관한 주요 전망
  - 소프트웨어 공급망 공격으로 인한 비용이 ‘23년 460억 달러에서 ’31년 1,380억 달러로 200% 증가할 것으로 추정
  - 또한 ’27년까지 기업의 80%가 소프트웨어 공급망 보안 위험을 완화하기 위해 전사적으로 전문화된 프로세스와 도구를 채택하게 될 것으로 예상
- 2) 주요 공급망 공격 방법
  - 소프트웨어 개발 인프라 : 공격자는 개발 환경에 침투하여 배포된 소프트웨어에 멀웨어를 포함시킴
  - 악성 코드 : ‘23년 오픈소스 패키지 245,000개에서 악성 코드 발견, 이는 ’19년부터 ‘22년까지 4년간 발견된 총 악성 코드 건수의 2배
  - 오픈소스 취약점 : 독점 코드의 90% 이상이 오픈소스 종속성을 포함하고 있으며 74%는 고위험 종속성을 포함
    1. 보안 개발 절차가 미흡하면 코드에 취약점 요소가 유입될 확률을 증가시킬 수 있음
  - 유지관리 되지 않는 오픈소스의 종속성 : 오픈소스 종속성의 약 절반이 2년 넘게 개발 활동이 이루어지지 않아 사실상 중단된 프로젝트임
    1. 많은 프로젝트들이 강력한 유지관리 그룹이 부족하여 이러한 종속성에서 취약점이 발견되면, 수정이 지연되거나 해결되지 않을 수 있음
- 3) 권장 사항
  - 소프트웨어 개발 및 배포 과정 전반에 걸쳐 보안 위험을 줄이기 위해 소프트웨어의 큐레이션(Curation), 생성(Creation), 소비(Consumption) 전반에 걸쳐 모든 위험 요소를 고려하는 통합적인 전략 개발이 중요
    3. 그림 1: 소프트웨어 공급망 보안의 세 가지 기둥
    - 큐레이션(Curation) : 보안, 라이선스 및 지적재산권 문제, 공급망 위험에 대한 소프트웨어 종속성을 미리 검토하고, 구성 요소의 사용을 평가 및 승인하는 과정을 통해 바람직하지 않은 종속성의 도입을 방지
      1. 신뢰할 수 있는 자동화된 소프트웨어 구성 분석 및 큐레이션 도구와 VEX(Vulnerability Exploitability eXchange, 취약점 악용 가능성 교환) 공개, SBOM(소프트웨어 재료 명세서) 등을 통해 지속적으로 리스크 관리 권고
      2. [수행 조직] 개발 및 엔지니어링 팀, 애플리케이션 보안 팀, 오픈소스 프로그램 사무소 등
    - 생성(Creation) : 안전한 개발을 위해 소프트웨어 아티팩트 보안 및 개발 파이프라인 보호 등 개발 환경의 보안 및 강화에 중점
      1. 아티팩트(Artifacts)는 오픈소스 및 상용 종속성, SDK, 컨테이너 이미지, 독점 코드 등을 포함하는 것으로 개발 프로세스 중에 가져오거나 생성되는 것
      2. 최근 공격자들은 악성코드를 종속성에 교묘하게 숨겨두고 있기 때문에 개발 파이프라인 전체에서 악의적인 코드 식별 등 취약점 검증을 통해 아티팩트, 개발 도구 체인 전반에 대한 무결성을 검증
      3. SLSA(Software Level Security Assurance)와 NIST SSDF(Secure Software Development Framework)와 같은 보안 프레임워크를 통해 소프트웨어 개발 및 배포 과정의 보안을 강화
      4. [수행 조직] 애플리케이션 보안, 개발 및 엔지니어링 팀, SOC(보안 운영 센터) 또는 PSIRT(제품 보안 사고 대응) 팀
      3. 그림 2: 소프트웨어 개발 및 제공 시 공급망 보안 위험을 완화하기 위한 주요 사례
    - 소비(Consumption) : 인수 전 및 인수 중 패키지 소프트웨어(상용 및 오픈소스 소프트웨어)에 대한 소프트웨어 공급망 위험을 식별하고 완화
      1. 도입되는 소프트웨어의 오픈소스 종속성 및 기타 상용 코드를 포함한 소프트웨어 구성 요소에 대한 내용을 파악하고 관리(SBOM 활용)
      2. 민감하거나 고위험 시스템에 대해 활성 테스트(바이너리 검증, 침투 테스트 등)를 구현하고 라이선스 요구 사항이나 법률 및 규정에 대한 위반 등에 대한 문제가 발생하지 않도록 법적인 절차를 먼저 확인 필요
      3. 내부 개발 및 외부 도입 애플리케이션 모두에 사용되는 종속성(오픈소스 및 상용)을 추적하여 잠재적으로 영향을 받는 시스템을 신속하게 식별하기 위해 바이너리 검증과 같은 기술을 통해 악성 코드 삽입, 변조, 비밀 노출 등 다양한 위협 감지 가능
  - 조직 내 모든 구성원이 보안 위험을 인지하고 예방 조치를 취할 수 있도록 보안과 관련된 이해관계자들을 교육하고 관련 위험에 대한 인식을 높이는 것이 중요
  - 소프트웨어 공급망 보안 문제를 해결하기 위해서는 보안, 소프트웨어 엔지니어링, 조달, 공급업체 위험 관리 담당자 등 관련 이해관계자와 협력하여 필요한 프로세스 및 도구에 대한 계획을 수립 필요
    1. 빌드 프로세스 중에 SBOM(및 VEX 공시와 같은 관련 아티팩트)을 생성하고 이 정보는 내부 그룹(사고 대응, 제품 보안 등) 및 외부 주체(비즈니스 파트너, 고객, 기타)와 공유
'2024 오픈소스 컨트리뷰션 아카데미(OSSCA) 참여형 발대식' 개최
- 정보통신산업진흥원(NIPA), 지난 7월 13일 참여·공유·협업 방식의 오픈소스 문화를 경험하고 오픈소스 프로젝트에 기여할 수 있는 ‘2024 오픈소스 컨트리뷰션 아카데미 참여형 프로그램’의 발대식 진행
  1. ‘2024 오픈소스 컨트리뷰션 아카데미 참여형 프로그램’은 멘토와 멘티가 팀을 이뤄 오픈소스 기술·개발 문화 전수를 통해 프로젝트 기능 개선 등의 기여·협업 경험을 제공, 컨트리뷰터로 성장할 수 있도록 지원하는 프로그램
  2. 발대식은 오픈소스 컨트리뷰션 아카데미 참여형 프로그램의 시작을 의미하는 행사로, 오픈소스 커뮤니티의 열정과 협업의 중요성을 강조
  4. [사진] 서울 강남 과학기술회관에서 ‘2024 오픈소스 컨트리뷰션 아카데미(OSSCA) 참여형 발대식’을 개최(7/13)
  - 이번 발대식에는 지난 참여 멘토를 초청하여 지난 컨트리뷰션 아카데미 참여 경험과 사례, 개발자로 성장하는 과정 등 선배로서 예비 컨트리뷰터를 응원하는 자리도 마련
    1. '2023년 공개SW 산업발전 유공자 표창(과학기술정보통신부 장관 표창)'을 수상한 유태희(카카오엔터프라이즈) 멘토를 비롯해 장동욱(카카오) 멘토, 정윤원(LINE) 멘토가 특별 강연자로 초대
  - 올해는 15개 오픈소스 프로젝트의 멘토 38명과 최종 선발된 282명의 멘티(오픈소스 프로젝트에 관심 있는 IT 분야 개발자, 취업 준비생, 대학(원)생 등)는 발대식을 시작으로 13주간 동안 활동 예정
  - 오는 11월 2일 성과공유회를 마무리한 후 참여 프로젝트팀을 대상으로 과학기술정보통신부 장관상·NIPA 원장상 등 총 7개 팀을 선발, 시상식도 진행할 예정

주목할 만한 월간 이슈(7월)
- (정책) 국가 소프트웨어 공급망 보안 제도 마련, 2027년 목표
  1. 정부는 '2024 공급망보안 워크숍'을 통해 범정부 SW공급망보안 TF를 구성, 올해 말까지 국가 공개SW망 보안 로드맵을 수립할 예정이라고 발표
    1. 로드맵에는 ▲국가 공공기관 디지털 제품 구입 및 운영을 위한 공급망보안 기준과 보안 대책 마련 ▲민간 기업 사이버 보안 강화 ▲전문 인력 확보를 위한 안전한 공공망 인프라 조성 등 내용이 담길 예정
  2. 공공기관 SW 공급망 보안 강화를 위한 제도를 3개년에 걸쳐 마련
  3. 유럽연합(EU) 사이버복원력법(Cyber Resilience Act, CRA)이 2027년 시행할 예정으로 이에 맞춰 2027년 제도 시행을 목표로 할 예정
    1. EU 사이버복원력법은 소프트웨어자재명세서(SBOM) 작성, 취약점 및 구성요소 식별‧문서화, 수정된 취약점 공개 등을 요구, 이를 어길 경우 전세계 연간 매출액 2.5%를 과징금으로 부과받을 수 있어 국내 기업들도 촉각을 세우고 있음
    2. 미국도 오는 9월부터 연방정부에 납품하는 모든 SW 대상으로 SBOM 적용 의무화 확대
  4. 정부는 SW공급망보안 가이드라인을 토대로 SBOM 관리 체계를 확대할 수 있도록 제도화 로드맵을 마련할 계획
- (GPU) 엔비디아, GPU 관련 커널 모듈 모두 오픈소스로 전환
  1. 엔비디아가 GPU 관련 오픈소스 커널 모듈이 최종적으로 클로즈드 소스 드라이버를 대체할 것이며 전면적으로 오픈소스로 전환할 것이라고 발표
    1. 과거 엔비디아는 GPU 관련 소프트웨어 오픈소스화에 소극적이었지만 2022년에는 리눅스용 GPU 커널 모듈 전체를 GPL과 MIT 이중 라이선스로 오픈소스로 출시
  2. 모든 GPU가 오픈소스 커널 모듈과 호환되는 건 아니며 그레이스호퍼(Grace Hopper)나 블랙웰(Blackwell) 같은 최첨단 모듈은 앞으로 오픈소스 커널 모듈만 지원될 예정
- (오픈소스화) 넷플릭스, 자체 개발 워크플로우 오케스트레이터 '마에스트로' 오픈소스로 공개
  1. 넷플릭스가 내부에서 데이터 파이프라인 및 머신 러닝 파이프라인과 같은 대규모 워크플로우를 관리하는 데 사용한 마에스트로(Matstro)를 오픈소스로 공개하며 데이터 관리에 혁명적인 변화를 가져올 것이라고 발표
    1. 넷플릭스는 2016년경 머신러닝 워크플로우 관리를 위해 자체 개발한 오케스트레이터 '메손'(Meson)을 사용해왔으나 이후 머신러닝 인스턴스 수가 계속 증가, 시스템을 수평적으로 확장 가능한 새로운 오케스트레이터 마에스트로를 개발해 운영
  2. 마에스트로 사용자는 '도커 이미지', '노트북', 'bash 스크립트', 'SQL', '파이썬'과 같은 형식으로 비즈니스 로직을 관리 가능하며 워크플로우 정의는 JSON 형식으로 작성
    1. JSON 형식(JavaScript Object Notation)은 사람이 읽을 수 있는 텍스트를 사용해 데이터를 저장하고 전송하는 데이터 공유를 위한 개방형 표준 파일 형식
- (OS) 구글 차세대 OS 퓨시아, 안드로이드폰 탑재 예정
  1. 구글이 퓨시아(Fuchsia)라고 부르는 차세대 모바일 운영체제(OS)를 곧 안드로이드폰에서 제공할 예정
    1. 퓨시아는 구글이 2016년부터 개발하고 있는 오픈소스 기반 차세대 OS로 주로 스마트폰과 각종 중소형 스마트 기기에 쓰일 가볍고 기능적인 운영체제
  2. 퓨시아는 리눅스 커널 대신 저콘(Zircon)이라는 새로운 마이크로 커널을 기반으로 더 나은 효율성과 유연성, 안정성을 제공
    1. 웹 데이터를 훈련한 VLA를 사용하면 모델은 이미 쓰레기가 무엇인지에 대한 일반적인 개념을 가지고 있어 구체적인 훈련 없이도 쓰레기를 식별하며, 행동을 취하도록 훈련받은 적은 없지만 쓰레기를 어떻게 버리는지에 대해서도 알 수 있음
  3. 구글은 가상화를 통해 기존 안드로이드 기기에서 퓨시아를 실행할 수 있도록 '마이크로푸시아'라는 새로운 프로젝트를 진행하고 있음

시사점
- ‘23년 오픈소스 패키지 245,000개에서 악성 코드 발견, 이는 ’19년부터 ‘22년까지 4년간 발견된 총 악성 코드 건수의 2배이며, 90% 이상의 독점 코드가 오픈소스 종속성을 포함하는데, 그중 74%는 고위험 종속성을 포함
  1. 최근 공격자들은 악성코드를 종속성에 교묘하게 숨겨두고 있기 때문에 도입되는 소프트웨어의 오픈소스 종속성 및 기타 상용 코드를 포함한 소프트웨어의 구성 요소 파악(SBOM 활용) 및 관리가 필요함
  2. 소프트웨어 공급망 보안 문제를 해결하기 위해서는 보안, 소프트웨어 엔지니어링, 조달, 공급업체 위험 관리 담당자 등 관련 이해관계자와 협력하여 필요한 프로세스 및 도구에 대한 계획을 수립 필요

※ 참고 Reference

“SW 공급망 피해, 2031년 1380억달러···공급망 전반서 리스크 낮춰야”, 데이터넷, 2024.07.05
https://www.datanet.co.kr/news/articleView.html?idxno=194838
Leader’s Guide to Software Supply Chain Security, Gartner, 2024.06.20.,
NIPA "오픈소스 전문가 양성"···15개팀 발대식, 지디넷코리아, 2024.7.16.,
https://zdnet.co.kr/view/?no=20240716064744
국가 SW공급망 보안 제도 시행, 2027년 목표…정부 첫 공식화, 디지털데일리, 2024.07.12.,
https://www.ddaily.co.kr/page/view/2024071117024728292?cm=news_headline
구글 차세대 OS 퓨시아 선보인다…안드로이드폰 탑재 예정, 디지털투데이, 2024.07.06.,
https://www.digitaltoday.co.kr/news/articleView.html?idxno=524260&cm=news_headline
엔비디아 “GPU 커널 모듈 모두 오픈소스로…”,테크레시피, 2024.07.19.,
https://techrecipe.co.kr/posts/67821
넷플릭스, 관리 시스템 '마에스트로' 오픈소스화, 디지털투데이, 2024.07.23.,
https://www.digitaltoday.co.kr/news/articleView.html?idxno=526515
공개SW 포털(oss.kr) ‘공개SW 소식’ 참조

Open UP에 의해 작성된 이 저작물은 크리에이티브 커먼즈 저작자표시-비영리-변경금지 2.0 대한민국 라이선스에 따라 이용할 수 있습니다.

번호	제목	작성자	조회수	작성
공지	[2024년] 오픈소스SW 라이선스 가이드 개정판 발간 file	support	12520	2024-01-03
공지	[2024년] 기업 오픈소스SW 거버넌스 가이드 개정판 발간 file	support	10040	2024-01-03
공지	[2024년] 공공 오픈소스SW 거버넌스 가이드 개정판 발간 file	support	9943	2024-01-03
공지	공개 소프트웨어 연구개발(R&D) 실무 가이드라인 배포 file	support	22440	2022-07-28
공지	공개소프트웨어 연구개발 수행 가이드라인 file	OSS	20791	2018-04-26
508	[10월 월간브리핑] 통신에서 자동차까지, 오픈소스SW가 이끄는 소프트웨어 산업	support	311	2024-10-28
507	[기획 브리핑] 글로벌 AI 규제 동향으로 살펴보는 오픈소스 모델의 역할과 도전과제	support	226	2024-10-27
506	[9월 월간브리핑] 엘라스틱, 3년만에 오픈소스 생태계로 복귀	support	2711	2024-09-28
505	[기고] CJ그룹, 오픈소스 생태계에 참여하다	support	2433	2024-09-28
504	[8월 월간브리핑] 오픈소스로 만들어가는 지속 가능한 미래	support	2478	2024-08-26
503	[기획 브리핑] 환경적 지속 가능성에 대한 오픈소스의 영향과 잠재력	support	2376	2024-08-26
502	[기고] 기후위기 시대, 탄소중립에 기여하는 소프트웨어(SW) 기술과 기업들	support	2607	2024-08-26
501	[7월 월간브리핑]가트너, 소프트웨어 공급망 보안 관리를 위한 방안 제시	support	2735	2024-07-29
500	[기획 브리핑] 글로벌 자동차 기업의 오픈소스SW 전략	support	2853	2024-07-26
499	[기고]오픈소스SW, 활용을 넘어서 기여로!	support	2486	2024-07-26