[컴퓨터월드] 클라우드 기반의 소프트웨어(SW) 공급망 보안 대응 서비스인 ‘엑스스캔(X-Scan)’을 개발, 서비스하는 레드펜소프트(대표 배환국)가 최근 화두가 되고 있는 SW 공급망 보안을 조금 다른 관점에서 봐야 한다고 지적하고 나섰다. 현재의 SW 공급망 보안 대응 방안이 공급사 위주이며, 개발 과정에 대한 보안 강화와 책임 추적 등에 과도하게 초점을 두고 있다는 것이다. 이와 관련, 레드펜소프트는 공급망 보안 강화를 위해서는 공급사뿐만 아니라 수요자 관점에서의 대응 또한 중요하다고 설명한다. 수요자 관점의 공급망 보안이란 무엇을 말하는지, 레드펜소프트의 전익찬 부대표를 만나 상세한 이야기를 들어봤다.

2023년 보안 업계의 화두는 ‘제로 트러스트(Zero Trust)’와 ‘SW 공급망 보안’ 두 가지로 요약된다. 미국 바이든 정부가 2021년 5월 국가 사이버보안 개선에 대한 행정명령(EO14028)을 발표하면서 제로 트러스트 보안 아키텍처의 구현과 SBOM(Software Bill of Materials, 소프트웨어 자재명세서) 제출 의무화를 통한 SW 공급망 보안 강화를 주요 과제로 삼았고, 최근 우리 정부도 이에 발맞춰 과학기술정보통신부가 ‘제로 트러스트 및 공급망 보안 포럼’을 발족하는 등 사이버 보안 패러다임 변화에 대해 본격적인 대응이 이뤄지고 있다.

특히 공급망 보안과 관련해 국내에서는 소프트캠프(대표 배환국)의 자회사인 레드펜소프트가 최근 주목받고 있다. 레드펜소프트는 소프트캠프가 화이트햇 컨설팅 전문기업 엔키(ENKI, 대표 이성권)와 합작해 2021년 설립한 국내 유일의 공급망 보안 전문 스타트업이다. 회사는 현재 개발사가 공급한 SW의 설치·업데이트 파일을 업로드하면 SBOM을 제공하는 수요자 관점의 보안 서비스 ‘엑스스캔’을 개발, 서비스하고 있다.

‘엑스스캔’을 활용하면 SBOM은 물론, 이전 버전과 비교해 어떤 오픈소스가 추가됐는지, 취약점이 추가된 것은 없는지, 외부와 어떤 데이터 통신이 이뤄지는지를 모두 분석해주므로 SW 수요자가 능동적으로 공급망 보안에 대응할 수 있다. 특히 ‘엑스스캔’은 최근 챗GPT를 적용, 인공지능(AI) 기술을 통해 빠르게 보안 취약점에 대한 리포트를 제공할 수 있도록 함으로써 효율성을 한층 높였다.

레드펜소프트 전익찬 부대표는 “글로벌 특허를 보유한 기술력을 기반으로, 레드펜소프트는 공급망 공격이 대부분 SW의 패치 및 업그레이드 프로세스에서 발생한다는 것을 파악했다. ‘엑스스캔’ 서비스를 활용하면 SW가 1.0 버전 대비 2.0 버전에서는 무엇이 변화했는지를 파악하고, 그 변화가 타당한지를 증빙하며, 어떤 오픈소스가 추가됐는지, 취약점은 있는지, 코드사인은 제대로 돼 있는지, 의심되는 속성이나 행위가 있는지 등을 파악해 관리할 수 있도록 한다”고 설명했다. 전익찬 부대표로부터 공급망 공격과 관련한 최근 동향과 수요자 관점에서의 대응이란 무엇인지를 들어본다.

SW 공급망 공격 기승…국가 차원에서 대응해야

Q. 최근 SW 공급망 보안과 관련한 업계 동향은?

“최근 ‘SW 공급망 보안’이 사이버 보안 업계에서 핵심 화두 중 하나가 되고 있다. 2023년 상반기에 발생한 주목할 공격으로는 최초의 연쇄적인 SW 공급망 공격으로 기록되는 화상통화 프로그램(3CX) 공급망 공격, 그리고 현재까지 750개 기업에 피해를 입힌 것으로 기록되는 파일전송 프로그램(MOVEit) 공급망 공격 등이 대표적이다. 이와 함께 국내에서도 유명 보안업체의 패치 프로세스 및 보안 취약점을 악용한 공격으로 60여 개 기관이 피해를 입은 사건이 저녁 뉴스를 뜨겁게 달궜다.”

“특히 최근 전 세계적으로 북한발 사이버 공격이 크게 이슈가 되고 있다. 라자루스, 김수키 등과 같이 북한은 2021년부터 SW 공급망 공격 역량을 크게 강화, 축적해온 것으로 밝혀지고 있다. 우리나라를 상대로는 정보 탈취의 목적으로, 미국 등 서방 국가를 대상으로는 외화벌이를 위해 2022년부터 현재까지 약 100여 건의 해킹 공격을 시도한 것으로 파악되고 있다. 3CX 공급망 공격과 가장 최근에 발생한 글로벌 공급망 공격인 점프 클라우드(Jump Cloud) 공급망 공격 모두 그 배후에 북한이 관련돼 있고, 공격의 목표가 금융 서비스 및 암호화폐에 있음이 드러나고 있다.”

“2021년 선포된 미국의 행정명령 EO14028에서 볼 수 있듯이, SW 공급망 공격은 국가 차원의 대응이 필요하다. 우리나라의 경우 과학기술정보통신부 등에서 이에 대응하기 위한 포럼 활동을 추진하고, 실증 사업을 시행하는 등 SW 공급망 공격에 대응하기 위한 체계 및 가이드라인 등을 준비하고 있다. 또한 사이버 보안 업계에서도 유수의 국내외 벤더들이 향후 SW 공급망 공격 대응을 위한 핵심 기술로서 자리 잡을 표준 SBOM 기술 요소 및 차별화된 오픈소스 컨트롤 등을 주장하며 시장에 출사표를 던지고 있다.”

SW 공급망 보안, 개발 및 공급자 측면만 강조

Q. SW 공급망 공격에 대한 업계의 대응에 어떤 문제점이 있나?

“SW 공급망 공격은 SW가 생산되고, 전달되고, 운영되며 폐기되는 전 라이프사이클에서 해커의 악의적인, 혹은 의도하지 않은 취약점에 의해 발생하는 모든 공격을 일컫는다. 때문에 이에 맞서는 SW 공급망 보안 역시 SW의 전 생애주기에 걸쳐 준비돼야 하며, 전략적인 대응 방안이 수립돼야 한다.”

“그러나 현재 시장에서 SW공급망 보안 대응이 어느 한 면에 일방적으로 치우쳐 논의되고 있고, 대응 방안마저도 현실적 한계를 벗어나지 못하고 있다. SW 전체 라이프 사이클 중에서도 개발의 측면에만, 또한 수요자와 공급자의 관점에서 보면 SW 공급자 측면의 대응만 강조되는 면이 없지 않다.”

“SW 공급망 공격이 발생했다는 사실은 이미 SW 개발사가 공격을 당했다는 것을 전제로 하고 있다. 그러므로 SW 공급망 보안은 SW 공급사 혹은 SW 개발 과정이 침해당할 수 있다는 ‘제로 트러스트’ 관점에서 접근해야만 한다. 하지만 지금 SW 공급망 기술 생태계 및 산업계는 SSDF(Secure Software Development Framework)와 같은 SW 개발 과정의 보안 강화와 SW 벤더의 책임 추적성에만 과도하게 초점을 두고 있는 면이 없지 않다. 물론 그것이 중요하지 않다는 것은 아니다.”

수요자 관점에서 SW 무결성 반드시 검증해야

Q. 그렇다면 수요자 관점의 SW 공급망 보안 대응이란 무엇인가?

“로그포제이(Log4j)로 촉발된 오픈소스 취약성 관리 이슈에서도 실제 수요자 입장 혹은 운영 관점에서 중요한 것은 제로데이 익스플로잇이 발생했을 때 기업의 어느 자산에 어떤 SW 컴포넌트가 있는지 빠르게 발견하고 패치를 수행하는 것이다. 야생에서 발생하고 있는 SW 공급망 공격은 공격자 관점, 즉 공격자의 전술·기법·절차(TTPs)를 주목해야 한다. 솔라윈즈 사태, 3CX 공급망 공격, 우리나라 보안업체 I사의 패치 프로세스 위변조 사건 등은 개발 과정에서의 오픈소스 취약점 관리만 철저히 수행한다고 해서 방어될 성격의 공격이 아니다. 그리고 표준 SBOM이 제시해야 할 SW 자재명세는 오픈소스에만 국한되지 않고 자체 개발 컴포넌트, 외부 OEM 컴포넌트 등 SW를 구성하는 모든 컴포넌트를 담아내야 한다.”

“지난 2월 미국의 사이버보안 비영리 그룹인 마이터(MITRE)에서는 사이버 복원력 향상을 위한 목표 및 기술에 대해 자세하게 정의한 ‘사이버 레질리언스 엔지니어링 프레임워크(Cyber Resilience Engineering Framework)’을 발표했다. CREF에서는 사이버공격을 예측하고, 저항하고, 복구하고, 적응하는 4단계로 구분하고 ‘SW 무결성(Integrity)의 검증과 출처(Provinance)의 추적’ 등을 주요 핵심 기술로 제기하고 있다.”

“SW 공급망 보안이 보안 운영의 측면 혹은 수요자의 관점에서 논의되고 대응 전략을 쉽게 수립하지 못하는 근본적인 이유 중 하나는, 바로 수요자 관점의 대응 기술을 마련하는 것이 쉽지 않다는 것이다. 현재까지 발생한 대형 SW 공급망 공격의 특징을 살펴보면 상용 SW의 패치 업데이트 과정에서 주로 발생한다는 사실을 알 수 있다. 모든 프로그램은 기능 및 보안 강화를 위해 주기적으로 업데이트를 실행할 수밖에 없으며 이때 SW 반입은 신뢰 관계를 기반으로 하기에 공격자들은 바로 이 프로세스를 노린다.”

“또한 소스 코드가 제공되지 않는 상용 SW의 무결성 검증은 실제로 쉽지 않은 과제이며, 현재 수요기업에 구축돼 있는 ‘악성코드 탐지 위주의 경계보안 대응시스템’은 SW 공급망 공격을 방어해내지 못하고 있음이 이미 증명됐다. 하지만 그 어떤 기술을 쓰든 SW 공급망 공격에 대비, 외부 SW를 내부로 반입하는 과정에서 SW의 무결성을 검증하는 과정이 보안 관제의 프로세스로 자리 잡아야만 한다. 예를 든다면, 코드사인 인증서의 무결성 검증과 같은 기술이 필요하다. 최근 다크웹에서 탈취된 코드사인 인증서가 개당 700~1,900달러에 거래되고 있다고 한다. 이것이 어디에 쓰일지는 자명한 사실이다. 바로 공급망 공격에 쓰이는 것이다.”

“2014년 2월 과기부는 SW 업데이트를 이용한 해킹 방지를 위해 ‘SW업데이트 체계보안 가이드라인’을 발표했다. 개인적으로 그 가이드라인은 ‘SW 공급망 공격 대응’ 관점의 실질적인 최초의 접근이라고 생각한다. 하지만 이것도 개발 과정에 국한돼 있다. 이것을 수요자 관점으로, 혹은 운영 관점으로 가져와 기업 내부로 반입되는 SW의 하위 컴포넌트까지 코드사인 인증서의 무결성 검증을 수행해 볼 수 있다.”

정부 가이드라인 및 제도적 뒷받침도 필요

Q. 마지막으로 SW 공급망 보안에 대해 첨언한다면.

“최근 우리 업계는 SW 공급망 보안 대응을 위해 해외, 특히 미국의 선진사례를 적극 연구하고 벤치마킹하고 있다. 분명히 배울 점이 있다. 또한 북한의 사이버위협에 대응하기 위한 한미간 공조 강화 측면에서 더욱 그러할 것이다. 그러나 SW 공급망 생태계를 둘러싼, 우리나라가 처한 특수한 현실이 간과돼서는 안 될 것이다. 선진사례를 벤치마킹함에 있어서 그러한 결과가 나오기까지의 지난한 과정이 생략된 채, 최종 결과만을 목표로 맹신하는 우를 범해서도 안 될 것이다.”

“SW 공급망 공격은 엄청난 사회적 파장 및 국가적 혼란을 초래할 수 있다. 주요 정보통신 기반시설 및 인터넷 뱅킹과 같은 금융 애플리케이션, ‘민원24’와 같은 대국민 공공 서비스를 대상으로 벌어지는 SW 공급망 공격에 수요기업이 필수적으로 대응할 수 있도록 정부 차원의 가이드라인 및 제도적 장치도 뒷받침돼야 하겠다.”