정보마당
[7월 월간브리핑]가트너, 소프트웨어 공급망 보안 관리를 위한 방안 제시
support
게시글 작성 시각 2024-07-29 11:04:43
가트너, 소프트웨어 공급망 보안 관리를 위한 방안 제시
- Open UP -
- 가트너, 소프트웨어 공급망 공격으로 인한 비용이 ‘23년 460억 달러에서 ‘31년 1,380억 달러로 200% 증가할 것으로 추정
- 소프트웨어 개발부터 도입·운영 전반에 걸친 취약점 점검 및 위협을 식별하고 완화하는 프로세스를 통한 관리가 필요
- 신뢰할 수 있는 자동화된 소프트웨어 구성 분석 및 큐레이션 도구와 VEX(Vulnerability Exploitability eXchange, 취약점 악용 가능성 교환) 공개, SBOM(소프트웨어 재료 명세서) 등을 통해 지속적으로 리스크 관리 필요
- 내부 개발 및 외부 도입 애플리케이션 모두 바이너리 검증과 같은 기술을 통해 사용되는 종속성(오픈소스 및 상용)을 추적하여 잠재적으로 영향을 받는 시스템을 신속하게 식별 필요
- 라이선스 요구 사항이나 법률 및 규정에 대한 위반 등 문제가 발생하지 않도록 먼저 법적인 절차 확인 필요
- 소프트웨어 개발부터 도입·운영 전반에 걸친 취약점 점검 및 위협을 식별하고 완화하는 프로세스를 통한 관리가 필요
- NIPA, 지난 7월 13일 서울 강남 과학기술회관에서 참여·공유·협업 방식의 오픈소스 문화를 경험하고 오픈소스 프로젝트에 기여할 수 있는 ‘2024 오픈소스 컨트리뷰션 아카데미 참여형 프로그램’의 발대식 진행
- 디지털 전환이 가속화되고 오픈소스SW는 산업의 핵심 축으로 자리매김, 소프트웨어 공급망 보안 관리에 대한 중요성 더욱 증가
- 전 세계적으로 소프트웨어 공급망과 애플리케이션 보안 위험에 적극적으로 대응하기 위해 법률 및 규제와 지침이 강화되고 있음
- 소프트웨어 공급망 보안에 대해 미국 행정명령 14028, 오픈소스 소프트웨어 보안법, EU 사이버복원력법, 영국 GCHQ 국립 사이버 보안 센터 지침 등 다양한 글로벌 법률, 규정과 지침이 마련되고 있음
- 이러한 규제 변화에 대응하여 기업의 3곳 중 2곳은 소프트웨어 공급망 보안 계획을 수립했거나 수립중인 것으로 나타남(‘23 Gartner)
- 기업들의 소프트웨어 공급망 보안 계획 수립에 대한 노력에도 불구, 다양한 사건과 지표를 보면 이러한 노력들이 조직 전체에 걸쳐 반영되지 않아 보안의 심각한 격차를 해결하지 못한 것으로 나타남
- 이와 관련하여 지난 6월 가트너는 ‘소프트웨어 공급망 보안을 위한 리더 가이드’라는 새로운 보고서를 통해 기업들은 소프트웨어 공급망을 강화하기 위해 더 많은 노력을 기울여야 한다고 강조
- 가트너 ‘소프트웨어 공급망 보안을 위한 리더 가이드’의 주요 핵심 사항
- 1) 소프트웨어 공급망 보안에 관한 주요 전망
- 소프트웨어 공급망 공격으로 인한 비용이 ‘23년 460억 달러에서 ’31년 1,380억 달러로 200% 증가할 것으로 추정
- 또한 ’27년까지 기업의 80%가 소프트웨어 공급망 보안 위험을 완화하기 위해 전사적으로 전문화된 프로세스와 도구를 채택하게 될 것으로 예상
- 2) 주요 공급망 공격 방법
- 소프트웨어 개발 인프라 : 공격자는 개발 환경에 침투하여 배포된 소프트웨어에 멀웨어를 포함시킴
- 악성 코드 : ‘23년 오픈소스 패키지 245,000개에서 악성 코드 발견, 이는 ’19년부터 ‘22년까지 4년간 발견된 총 악성 코드 건수의 2배
- 오픈소스 취약점 : 독점 코드의 90% 이상이 오픈소스 종속성을 포함하고 있으며 74%는 고위험 종속성을 포함
- 보안 개발 절차가 미흡하면 코드에 취약점 요소가 유입될 확률을 증가시킬 수 있음
- 유지관리 되지 않는 오픈소스의 종속성 : 오픈소스 종속성의 약 절반이 2년 넘게 개발 활동이 이루어지지 않아 사실상 중단된 프로젝트임
- 많은 프로젝트들이 강력한 유지관리 그룹이 부족하여 이러한 종속성에서 취약점이 발견되면, 수정이 지연되거나 해결되지 않을 수 있음
- 3) 권장 사항
- 소프트웨어 개발 및 배포 과정 전반에 걸쳐 보안 위험을 줄이기 위해 소프트웨어의 큐레이션(Curation), 생성(Creation), 소비(Consumption) 전반에 걸쳐 모든 위험 요소를 고려하는 통합적인 전략 개발이 중요
- 그림 1: 소프트웨어 공급망 보안의 세 가지 기둥
- 큐레이션(Curation) : 보안, 라이선스 및 지적재산권 문제, 공급망 위험에 대한 소프트웨어 종속성을 미리 검토하고, 구성 요소의 사용을 평가 및 승인하는 과정을 통해 바람직하지 않은 종속성의 도입을 방지
- 신뢰할 수 있는 자동화된 소프트웨어 구성 분석 및 큐레이션 도구와 VEX(Vulnerability Exploitability eXchange, 취약점 악용 가능성 교환) 공개, SBOM(소프트웨어 재료 명세서) 등을 통해 지속적으로 리스크 관리 권고
- [수행 조직] 개발 및 엔지니어링 팀, 애플리케이션 보안 팀, 오픈소스 프로그램 사무소 등
- 생성(Creation) : 안전한 개발을 위해 소프트웨어 아티팩트 보안 및 개발 파이프라인 보호 등 개발 환경의 보안 및 강화에 중점
- 아티팩트(Artifacts)는 오픈소스 및 상용 종속성, SDK, 컨테이너 이미지, 독점 코드 등을 포함하는 것으로 개발 프로세스 중에 가져오거나 생성되는 것
- 최근 공격자들은 악성코드를 종속성에 교묘하게 숨겨두고 있기 때문에 개발 파이프라인 전체에서 악의적인 코드 식별 등 취약점 검증을 통해 아티팩트, 개발 도구 체인 전반에 대한 무결성을 검증
- SLSA(Software Level Security Assurance)와 NIST SSDF(Secure Software Development Framework)와 같은 보안 프레임워크를 통해 소프트웨어 개발 및 배포 과정의 보안을 강화
- [수행 조직] 애플리케이션 보안, 개발 및 엔지니어링 팀, SOC(보안 운영 센터) 또는 PSIRT(제품 보안 사고 대응) 팀
- 그림 2: 소프트웨어 개발 및 제공 시 공급망 보안 위험을 완화하기 위한 주요 사례
- 소비(Consumption) : 인수 전 및 인수 중 패키지 소프트웨어(상용 및 오픈소스 소프트웨어)에 대한 소프트웨어 공급망 위험을 식별하고 완화
- 도입되는 소프트웨어의 오픈소스 종속성 및 기타 상용 코드를 포함한 소프트웨어 구성 요소에 대한 내용을 파악하고 관리(SBOM 활용)
- 민감하거나 고위험 시스템에 대해 활성 테스트(바이너리 검증, 침투 테스트 등)를 구현하고 라이선스 요구 사항이나 법률 및 규정에 대한 위반 등에 대한 문제가 발생하지 않도록 법적인 절차를 먼저 확인 필요
- 내부 개발 및 외부 도입 애플리케이션 모두에 사용되는 종속성(오픈소스 및 상용)을 추적하여 잠재적으로 영향을 받는 시스템을 신속하게 식별하기 위해 바이너리 검증과 같은 기술을 통해 악성 코드 삽입, 변조, 비밀 노출 등 다양한 위협 감지 가능
- 조직 내 모든 구성원이 보안 위험을 인지하고 예방 조치를 취할 수 있도록 보안과 관련된 이해관계자들을 교육하고 관련 위험에 대한 인식을 높이는 것이 중요
- 소프트웨어 공급망 보안 문제를 해결하기 위해서는 보안, 소프트웨어 엔지니어링, 조달, 공급업체 위험 관리 담당자 등 관련 이해관계자와 협력하여 필요한 프로세스 및 도구에 대한 계획을 수립 필요
- 빌드 프로세스 중에 SBOM(및 VEX 공시와 같은 관련 아티팩트)을 생성하고 이 정보는 내부 그룹(사고 대응, 제품 보안 등) 및 외부 주체(비즈니스 파트너, 고객, 기타)와 공유
- 소프트웨어 개발 및 배포 과정 전반에 걸쳐 보안 위험을 줄이기 위해 소프트웨어의 큐레이션(Curation), 생성(Creation), 소비(Consumption) 전반에 걸쳐 모든 위험 요소를 고려하는 통합적인 전략 개발이 중요
- 전 세계적으로 소프트웨어 공급망과 애플리케이션 보안 위험에 적극적으로 대응하기 위해 법률 및 규제와 지침이 강화되고 있음
- '2024 오픈소스 컨트리뷰션 아카데미(OSSCA) 참여형 발대식' 개최
- 정보통신산업진흥원(NIPA), 지난 7월 13일 참여·공유·협업 방식의 오픈소스 문화를 경험하고 오픈소스 프로젝트에 기여할 수 있는 ‘2024 오픈소스 컨트리뷰션 아카데미 참여형 프로그램’의 발대식 진행
- ‘2024 오픈소스 컨트리뷰션 아카데미 참여형 프로그램’은 멘토와 멘티가 팀을 이뤄 오픈소스 기술·개발 문화 전수를 통해 프로젝트 기능 개선 등의 기여·협업 경험을 제공, 컨트리뷰터로 성장할 수 있도록 지원하는 프로그램
- 발대식은 오픈소스 컨트리뷰션 아카데미 참여형 프로그램의 시작을 의미하는 행사로, 오픈소스 커뮤니티의 열정과 협업의 중요성을 강조
- [사진] 서울 강남 과학기술회관에서 ‘2024 오픈소스 컨트리뷰션 아카데미(OSSCA) 참여형 발대식’을 개최(7/13)
- 이번 발대식에는 지난 참여 멘토를 초청하여 지난 컨트리뷰션 아카데미 참여 경험과 사례, 개발자로 성장하는 과정 등 선배로서 예비 컨트리뷰터를 응원하는 자리도 마련
- '2023년 공개SW 산업발전 유공자 표창(과학기술정보통신부 장관 표창)'을 수상한 유태희(카카오엔터프라이즈) 멘토를 비롯해 장동욱(카카오) 멘토, 정윤원(LINE) 멘토가 특별 강연자로 초대
- 올해는 15개 오픈소스 프로젝트의 멘토 38명과 최종 선발된 282명의 멘티(오픈소스 프로젝트에 관심 있는 IT 분야 개발자, 취업 준비생, 대학(원)생 등)는 발대식을 시작으로 13주간 동안 활동 예정
- 오는 11월 2일 성과공유회를 마무리한 후 참여 프로젝트팀을 대상으로 과학기술정보통신부 장관상·NIPA 원장상 등 총 7개 팀을 선발, 시상식도 진행할 예정
- 정보통신산업진흥원(NIPA), 지난 7월 13일 참여·공유·협업 방식의 오픈소스 문화를 경험하고 오픈소스 프로젝트에 기여할 수 있는 ‘2024 오픈소스 컨트리뷰션 아카데미 참여형 프로그램’의 발대식 진행
- 주목할 만한 월간 이슈(7월)
- (정책) 국가 소프트웨어 공급망 보안 제도 마련, 2027년 목표
- 정부는 '2024 공급망보안 워크숍'을 통해 범정부 SW공급망보안 TF를 구성, 올해 말까지 국가 공개SW망 보안 로드맵을 수립할 예정이라고 발표
- 로드맵에는 ▲국가 공공기관 디지털 제품 구입 및 운영을 위한 공급망보안 기준과 보안 대책 마련 ▲민간 기업 사이버 보안 강화 ▲전문 인력 확보를 위한 안전한 공공망 인프라 조성 등 내용이 담길 예정
- 공공기관 SW 공급망 보안 강화를 위한 제도를 3개년에 걸쳐 마련
- 유럽연합(EU) 사이버복원력법(Cyber Resilience Act, CRA)이 2027년 시행할 예정으로 이에 맞춰 2027년 제도 시행을 목표로 할 예정
- EU 사이버복원력법은 소프트웨어자재명세서(SBOM) 작성, 취약점 및 구성요소 식별‧문서화, 수정된 취약점 공개 등을 요구, 이를 어길 경우 전세계 연간 매출액 2.5%를 과징금으로 부과받을 수 있어 국내 기업들도 촉각을 세우고 있음
- 미국도 오는 9월부터 연방정부에 납품하는 모든 SW 대상으로 SBOM 적용 의무화 확대
- 정부는 SW공급망보안 가이드라인을 토대로 SBOM 관리 체계를 확대할 수 있도록 제도화 로드맵을 마련할 계획
- 정부는 '2024 공급망보안 워크숍'을 통해 범정부 SW공급망보안 TF를 구성, 올해 말까지 국가 공개SW망 보안 로드맵을 수립할 예정이라고 발표
- (GPU) 엔비디아, GPU 관련 커널 모듈 모두 오픈소스로 전환
- 엔비디아가 GPU 관련 오픈소스 커널 모듈이 최종적으로 클로즈드 소스 드라이버를 대체할 것이며 전면적으로 오픈소스로 전환할 것이라고 발표
- 과거 엔비디아는 GPU 관련 소프트웨어 오픈소스화에 소극적이었지만 2022년에는 리눅스용 GPU 커널 모듈 전체를 GPL과 MIT 이중 라이선스로 오픈소스로 출시
- 모든 GPU가 오픈소스 커널 모듈과 호환되는 건 아니며 그레이스호퍼(Grace Hopper)나 블랙웰(Blackwell) 같은 최첨단 모듈은 앞으로 오픈소스 커널 모듈만 지원될 예정
- 엔비디아가 GPU 관련 오픈소스 커널 모듈이 최종적으로 클로즈드 소스 드라이버를 대체할 것이며 전면적으로 오픈소스로 전환할 것이라고 발표
- (오픈소스화) 넷플릭스, 자체 개발 워크플로우 오케스트레이터 '마에스트로' 오픈소스로 공개
- 넷플릭스가 내부에서 데이터 파이프라인 및 머신 러닝 파이프라인과 같은 대규모 워크플로우를 관리하는 데 사용한 마에스트로(Matstro)를 오픈소스로 공개하며 데이터 관리에 혁명적인 변화를 가져올 것이라고 발표
- 넷플릭스는 2016년경 머신러닝 워크플로우 관리를 위해 자체 개발한 오케스트레이터 '메손'(Meson)을 사용해왔으나 이후 머신러닝 인스턴스 수가 계속 증가, 시스템을 수평적으로 확장 가능한 새로운 오케스트레이터 마에스트로를 개발해 운영
- 마에스트로 사용자는 '도커 이미지', '노트북', 'bash 스크립트', 'SQL', '파이썬'과 같은 형식으로 비즈니스 로직을 관리 가능하며 워크플로우 정의는 JSON 형식으로 작성
- JSON 형식(JavaScript Object Notation)은 사람이 읽을 수 있는 텍스트를 사용해 데이터를 저장하고 전송하는 데이터 공유를 위한 개방형 표준 파일 형식
- 넷플릭스가 내부에서 데이터 파이프라인 및 머신 러닝 파이프라인과 같은 대규모 워크플로우를 관리하는 데 사용한 마에스트로(Matstro)를 오픈소스로 공개하며 데이터 관리에 혁명적인 변화를 가져올 것이라고 발표
- (OS) 구글 차세대 OS 퓨시아, 안드로이드폰 탑재 예정
- 구글이 퓨시아(Fuchsia)라고 부르는 차세대 모바일 운영체제(OS)를 곧 안드로이드폰에서 제공할 예정
- 퓨시아는 구글이 2016년부터 개발하고 있는 오픈소스 기반 차세대 OS로 주로 스마트폰과 각종 중소형 스마트 기기에 쓰일 가볍고 기능적인 운영체제
- 퓨시아는 리눅스 커널 대신 저콘(Zircon)이라는 새로운 마이크로 커널을 기반으로 더 나은 효율성과 유연성, 안정성을 제공
- 웹 데이터를 훈련한 VLA를 사용하면 모델은 이미 쓰레기가 무엇인지에 대한 일반적인 개념을 가지고 있어 구체적인 훈련 없이도 쓰레기를 식별하며, 행동을 취하도록 훈련받은 적은 없지만 쓰레기를 어떻게 버리는지에 대해서도 알 수 있음
- 구글은 가상화를 통해 기존 안드로이드 기기에서 퓨시아를 실행할 수 있도록 '마이크로푸시아'라는 새로운 프로젝트를 진행하고 있음
- 구글이 퓨시아(Fuchsia)라고 부르는 차세대 모바일 운영체제(OS)를 곧 안드로이드폰에서 제공할 예정
- (정책) 국가 소프트웨어 공급망 보안 제도 마련, 2027년 목표
- 시사점
- ‘23년 오픈소스 패키지 245,000개에서 악성 코드 발견, 이는 ’19년부터 ‘22년까지 4년간 발견된 총 악성 코드 건수의 2배이며, 90% 이상의 독점 코드가 오픈소스 종속성을 포함하는데, 그중 74%는 고위험 종속성을 포함
- 최근 공격자들은 악성코드를 종속성에 교묘하게 숨겨두고 있기 때문에 도입되는 소프트웨어의 오픈소스 종속성 및 기타 상용 코드를 포함한 소프트웨어의 구성 요소 파악(SBOM 활용) 및 관리가 필요함
- 소프트웨어 공급망 보안 문제를 해결하기 위해서는 보안, 소프트웨어 엔지니어링, 조달, 공급업체 위험 관리 담당자 등 관련 이해관계자와 협력하여 필요한 프로세스 및 도구에 대한 계획을 수립 필요
- ‘23년 오픈소스 패키지 245,000개에서 악성 코드 발견, 이는 ’19년부터 ‘22년까지 4년간 발견된 총 악성 코드 건수의 2배이며, 90% 이상의 독점 코드가 오픈소스 종속성을 포함하는데, 그중 74%는 고위험 종속성을 포함
※ 참고 Reference
- “SW 공급망 피해, 2031년 1380억달러···공급망 전반서 리스크 낮춰야”, 데이터넷, 2024.07.05
https://www.datanet.co.kr/news/articleView.html?idxno=194838 - Leader’s Guide to Software Supply Chain Security, Gartner, 2024.06.20.,
- NIPA "오픈소스 전문가 양성"···15개팀 발대식, 지디넷코리아, 2024.7.16.,
https://zdnet.co.kr/view/?no=20240716064744 - 국가 SW공급망 보안 제도 시행, 2027년 목표…정부 첫 공식화, 디지털데일리, 2024.07.12.,
https://www.ddaily.co.kr/page/view/2024071117024728292?cm=news_headline - 구글 차세대 OS 퓨시아 선보인다…안드로이드폰 탑재 예정, 디지털투데이, 2024.07.06.,
https://www.digitaltoday.co.kr/news/articleView.html?idxno=524260&cm=news_headline - 엔비디아 “GPU 커널 모듈 모두 오픈소스로…”,테크레시피, 2024.07.19.,
https://techrecipe.co.kr/posts/67821 - 넷플릭스, 관리 시스템 '마에스트로' 오픈소스화, 디지털투데이, 2024.07.23.,
https://www.digitaltoday.co.kr/news/articleView.html?idxno=526515 - 공개SW 포털(oss.kr) ‘공개SW 소식’ 참조
Open UP에 의해 작성된 이 저작물은 크리에이티브 커먼즈 저작자표시-비영리-변경금지 2.0 대한민국 라이선스에 따라 이용할 수 있습니다.
.
.
2024
| 번호 | 제목 | 작성자 | 조회수 | 작성 |
|---|---|---|---|---|
| 공지 | [2024년] 오픈소스SW 라이선스 가이드 개정판 발간 file | support | 7239 | 2024-01-03 |
| 공지 | [2024년] 기업 오픈소스SW 거버넌스 가이드 개정판 발간 file | support | 5632 | 2024-01-03 |
| 공지 | [2024년] 공공 오픈소스SW 거버넌스 가이드 개정판 발간 file | support | 5591 | 2024-01-03 |
| 공지 | 공개 소프트웨어 연구개발(R&D) 실무 가이드라인 배포 file | support | 18185 | 2022-07-28 |
| 공지 | 공개소프트웨어 연구개발 수행 가이드라인 file | OSS | 16904 | 2018-04-26 |
| 504 | [8월 월간브리핑] 오픈소스로 만들어가는 지속 가능한 미래 | support | 278 | 2024-08-26 |
| 503 | [기획 브리핑] 환경적 지속 가능성에 대한 오픈소스의 영향과 잠재력 | support | 147 | 2024-08-26 |
| 502 | [기고] 기후위기 시대, 탄소중립에 기여하는 소프트웨어(SW) 기술과 기업들 | support | 156 | 2024-08-26 |
| 501 | [7월 월간브리핑]가트너, 소프트웨어 공급망 보안 관리를 위한 방안 제시 | support | 443 | 2024-07-29 |
| 500 | [기획 브리핑] 글로벌 자동차 기업의 오픈소스SW 전략 | support | 371 | 2024-07-26 |
| 499 | [기고]오픈소스SW, 활용을 넘어서 기여로! | support | 277 | 2024-07-26 |
| 498 | [6월 월간브리핑]오픈소스SW 공급망 성숙도 및 관리 동향 | support | 560 | 2024-06-25 |
| 497 | [기고]SBOM을 효율적으로 관리하기 위한 방안 | support | 848 | 2024-06-25 |
| 496 | [기획기사]오픈소스 소프트웨어 공급망 보안 정책의 중심 ‘SBOM’ | support | 1284 | 2024-06-25 |
| 495 | [5월 월간브리핑]오픈소스SW, 클라우드 네이티브 생태계 성장 동력 | support | 1063 | 2024-05-27 |
0개 댓글