[º¸¾È´º½º ¹®Á¤ÈÄ ±âÀÚ] Áö³ 5¿ù ±êÇãºê(GitHub)´Â ¼ÒÇÁÆ®¿þ¾î º¸¾ÈÀ» Çâ»ó½ÃÅ°±â À§ÇÑ Áß¿äÇÑ Ã¹ °ÉÀ½À» ¶Ã´Ù. ¸ðµç ÄÚµå ¸®Æ÷ÁöÅ͸® ÄÁÆ®¸®ºäÅ͵鿡°Ô 2023³â ¸»±îÁö´Â ¹Ýµå½Ã ÀÌÁßÀÎÁõÀ» µµÀÔÇØ¾ß ÇÑ´Ù°í ±ÔÁ¤À» »õ·Î Á¤ÇØ ¹ßÇ¥ÇÑ °ÍÀÌ´Ù. ÀÌÁßÀÎÁõÀÇ °Á¦¶ó´Ï, º¸¾È Àü¹®°¡ ÀÔÀå¿¡¼´Â ȯ¿µÇØ ¸¶Áö ¾ÊÀ» º¯ÈÀÌÁö¸¸ ±×·³¿¡µµ ¸¶À½ ÇÑ ÂÊ¿¡ Àǹ®ÀÌ Çϳª »ý±âÁö ¾ÊÀ» ¼ö ¾ø´Ù. ¿Ö ±»ÀÌ 2023³â±îÁö ±â´Ù·Á¾ß Çϴ°¡?
[À̹ÌÁö = utoimage]
¿ÏÀü¹«°áÇÑ °Ç ¾Æ´ÏÁö¸¸ ´ÙÁßÀÎÁõÀ¸·Î º¸È£µÈ °èÁ¤Àº ±×·¸Áö ¾ÊÀº °èÁ¤º¸´Ù ÈξÀ ¾ÈÀüÇÑ °Ô »ç½ÇÀÌ´Ù. °Ô´Ù°¡ ¼ÒÇÁÆ®¿þ¾î °ø±Þ¸ÁÀº ³Ê¹«³ª Ãë¾àÇϸç, ±× Áß¿¡¼µµ ±êÇãºê´Â ³Ê¹«³ª ¸Å·ÂÀûÀΠǥÀûÀÏ ¼ö¹Û¿¡ ¾ø´Ù. ÀÌ·± »óȲ¿¡¼ ¿Ö ±»ÀÌ 1³âÀ» ´õ ±â´Ù·Á¾ß ÇÏ´ÂÁö ¾Ë ¼ö°¡ ¾ø´Ù. ´ÙÁßÀÎÁõÀ̶ó´Â °Ô ÃÖ½Å½Ä ½Å±â¼úÀ̶ó ºÎÀÛ¿ëÀÌ Àܶà ÀáÀçÇØ ÀÖ´Â °Íµµ ¾Æ´Ñµ¥ ¸»ÀÌ´Ù. ³»³â±îÁö ±â´Ù¸®Áö ¸»°í ±êÇãºê¸¦ »ç¿ëÇÏ´Â º¥´õ»ç³ª ¼ÒÇÁÆ®¿þ¾î °³¹ßÀÚµé Ãø¿¡¼ ¹Ì¸® ´ÙÁßÀÎÁõÀ» µµÀÔÇÏ´Â °Ç ¾î¶³±î.
°ø±Þ¸Á °ø°ÝÀ̶ó´Â À§ÇùÀÇ Áõ°¡
ÃÖ±ÙÀÇ ¼ÒÇÁÆ®¿þ¾î °ø±Þ¸Á °ø°ÝÀº ÁÖ·Î °èÁ¤ Å»Ãë °ø°ÝÀ» ÅëÇØ ³ªÅ¸³´Ù. ¿¹¸¦ µé¸é ´ÙÀ½°ú °°´Ù.
1) °ø°ÝÀÚ°¡ ±êÇãºê³ª PyPI¿Í °°Àº ÄÚµå/ÆÐÅ°Áö °øÀ¯ »çÀÌÆ®¿¡ Á¢¼ÓÇÑ´Ù.
2) °èÁ¤À» Å»ÃëÇÑ´Ù.
3) Å»ÃëÇÑ °èÁ¤À» °¡Áö°í ¸®Æ÷ÁöÅ͸®¿¡ ¾Ç¼º Äڵ带 »ðÀÔÇÑ´Ù.
4) 3)¹ø °úÁ¤Àº ¸¶Ä¡ Á¤»óÀûÀÎ °³¹ßÀÚ³ª ¸®Æ÷ÁöÅ͸® °ü¸®ÀÚ°¡ ½Ç½ÃÇÑ Á¤»óÀûÀÎ ¾÷µ¥ÀÌÆ®·Î º¸ÀδÙ.
5) ¾Ç¼ºÄڵ尡 ÆÛÁø´Ù.
±êÇãºê´Â ¼¼°è¿¡¼ °¡Àå Å« ¼ÒÇÁÆ®¿þ¾î °³¹ß Ç÷§ÆûÀÌ´Ù. 8300¸¸ °³¹ßÀÚµéÀÌ ÀÌ Ç÷§Æû¿¡¼ È°µ¿Çϸç, 2¾ï °³ ÀÌ»óÀÇ ¸®Æ÷ÁöÅ͸®°¡ Á¸ÀçÇÑ´Ù. °³¹ßÀÚµéÀº ±êÇãºêÀÇ ¸®Æ÷ÁöÅ͸®¸¦ ±²ÀåÈ÷ ½Å·ÚÇÏ´Â ÆíÀ̸ç, µû¶ó¼ ÀڽŵéÀÇ ¼ÒÇÁÆ®¿þ¾î °³¹ß ÇÁ·ÎÁ§Æ®¿¡ Àû±Ø È°¿ëÇÑ´Ù. ±×·¸±â ¶§¹®¿¡ ¿À¿°µÈ ±êÇãºê ¸®Æ÷ÁöÅ͸® Çϳª°¡ ¼ö¸¹Àº ¿ÀǼҽº¿Í ´õ ¸¹Àº ¼ÒÇÁÆ®¿þ¾îµéÀ» ¿À¿°½Ãų ¼ö ÀÖ´Ù. ¼ÒÇÁÆ®¿þ¾î°¡ °³¹ßµÇ°í °ø±ÞµÇ´Â ÇÁ·Î¼¼½º ÀÚü°¡ ¸Á°¡Áö´Â °ÍÀÌ´Ù.
¼ÒÇÁÆ®¿þ¾î »ýÅ°èÀÇ º¸È£
ÇÊÀÚ´Â ´ÙÁßÀÎÁõ µµÀÔÀ» À§ÇØ ´õ ÀÌ»ó ±â´Ù¸± ÇÊ¿ä°¡ ¾ø´Ù´Â ÀÇ°ßÀÌ´Ù. ´ÙÁßÀÎÁõÀÇ ¿Ïº®¼ºÀ» Âù¾çÇÏ·Á´Â °Ô ¾Æ´Ï´Ù. ¼¼»ó¿¡ ¿Ïº®ÇÑ º¸¾È ÀåÄ¡°¡ ¾îµð ÀÖ³ª. ´Ù¸¸ ºñ¹Ð¹øÈ£ Çϳª·Î ¹º°¡¸¦ º¸È£ÇÏ´Â °Íº¸´Ù, ´ÙÁßÀÎÁõÀ¸·Î º¸È£ÇÏ´Â °Ô ÈξÀ °·ÂÇÏ°í È¿°ú°¡ ÁÁ´Ù´Â °É °Á¶ÇÏ°í ½ÍÀº °ÍÀÌ´Ù. °ø°ÝÀÚµé ÀÔÀå¿¡¼ °ø°Ý ³À̵µ°¡ ³ô°í ³·Àº °Ç °ø°Ý ´ë»óÀ» °áÁ¤ÇÏ´Â µ¥¿¡ ÇʼöÀûÀ¸·Î °í¹ÎÇØ¾ß ÇÏ´Â ¿ä¼Ò´Ù. °ø°ÝÀÚÀÇ ½É¸®°¡ ±×·¯Çѵ¥ ±»ÀÌ ºñ¹Ð¹øÈ£¸¦ °íÁýÇÒ ÀÌÀ¯°¡ ¾ø´Ù.
´ÙÁßÀÎÁõ ¿Ü¿¡µµ ¼ÒÇÁÆ®¿þ¾î °ø±Þ¸ÁÀ» °ÈÇÒ ¼ö ÀÖ´Â ¹æ¾ÈµéÀÌ ¿©·¯ °³ Àִµ¥, ÀÌ Áß ¸î °¡Áö¸¦ Á¤¸®ÇÏ¸é ´ÙÀ½°ú °°´Ù.
1) ¼ÒÇÁÆ®¿þ¾î ±¸¼º ºÐ¼®(software composition analysis, SCA) : ¿ÀǼҽº ¼ÒÇÁÆ®¿þ¾îÀÇ º¸¾È¼º, ¶óÀ̼±½º Áؼö, ÄÚµå Ç°Áú µîÀÇ °ü¸®¸¦ ÀÚµ¿À¸·Î ÇÏ°Ô ÇÏ´Â ±â¼úÀ» ¸»ÇÑ´Ù. Ŭ¶ó¿ìµå ³×ÀÌƼºê ¾ÖÇø®ÄÉÀ̼ǵéÀÇ »ç¿ë·®°ú µ¥ºê¿É½º/µ¥ºê¼½¿É½ºÀÇ µµÀÔ·üÀÌ Áõ°¡ÇÏ¸é¼ ¿ÀǼҽº Äڵ带 ¿¹Àüó·³ ¼öµ¿À¸·Î °Ë»çÇÏ´Â °Ç ºÒ°¡´ÉÇØÁ³´Ù.
2) ¼ÒÇÁÆ®¿þ¾î ¿ø·áÇ¥(software bill of materials, SBOM) : SBOMÀº ¼ÒÇÁÆ®¿þ¾î ±¸¼º ¿ä¼Òµé°ú µðÆæ´ø½ÃµéÀ» ±â°è°¡ ÀÐÀ» ¼ö ÀÖ´Â ½ÅÈ£·Î Ç¥±âÇÑ ¡®¿øÀÚÀç ¸ñ·Ï¡¯À» ¸»ÇÑ´Ù. ÇÏÀ§ ¿ä¼ÒµéÀÌ ¼·Î ¾î¶°ÇÑ °ü°è¸¦ Çü¼ºÇÏ°í ÀÖ´ÂÁöµµ ³ªÅ¸³½´Ù. SBOMÀ» ÅëÇØ ¿ÀǼҽº¸¦ ¾ÈÀüÇÏ°Ô È°¿ëÇÒ ¼ö ÀÖ°Ô µÇ°í, ¿ÀǼҽº°¡ ÁÖ´Â ¿Â°® ÀÌÁ¡À» ´©¸± ¼öµµ ÀÖ°Ô µÈ´Ù.
3) Æнº¿öµå¸®½º(passwordless) : Áö³ ¼ö½Ê ³â µ¿¾È ¿ì¸®ÀÇ ÄÄÇ»ÅÍ¿Í IT ½Ã½ºÅÛÀ» º¸È£Çß´ø ºñ¹Ð¹øÈ£´Â ´õ ÀÌ»ó ¾ÈÀüÇÑ ÀåÄ¡°¡ ¾Æ´Ï´Ù. ÀÌÁ¦ º¸³»Áà¾ß ÇÒ ¶§°¡ µÆ´Ù. ´ÙÁßÀÎÁõÀ̶ó°í ÇÏ¸é º¸Åë ºñ¹Ð¹øÈ£¸¦ Çϳª ³Ö°í, ±× ´ÙÀ½ÀÇ ÀÎÁõ ¿ä¼ÒµéÀ» ³íÇϴµ¥, »ç½Ç ÀÌ·± ½ÄÀ¸·Î¶óµµ ºñ¹Ð¹øÈ£¸¦ °íÁýÇÏ´Â °Íµµ ±×¸® ÁÁÀº »ý°¢Àº ¾Æ´Ï´Ù. ¾àÇϵð ¾àÇÑ º¸¾È ÀåÄ¡ÀÎ ºñ¹Ð¹øÈ£¸¦ °è¼Ó °¡Á®°¨À¸·Î½á ´ÙÁßÀÎÁõÀ» ±»ÀÌ ¾àȽÃų ÇÊ¿ä°¡ ¾øÁö ¾ÊÀº°¡?
Æнº¿öµå¸®½º´Â »ý°¢º¸´Ù ¿À·¡ ÀüºÎÅÍ ÁÖÀåµÇ¾î ¿Â º¸¾È ±â¹ý Áß ÇϳªÁö¸¸ ±×¸® Å« ÈûÀ» ¹ÞÁö´Â ¸øÇß¾ú´Ù. ÇÏÁö¸¸ ÃÖ±Ù ¾ÖÇÃ, ±¸±Û, MS µî IT ¾÷°èÀÇ °ÅÀεéÀÌ Æнº¿öµå¸®½º¸¦ ÁÖÀåÇÏ¸é¼ ÀÌ ¿òÁ÷ÀÓ¿¡ µ¿ÂüÇÏ´Â »ç¶÷µéÀÌ ´Ã¾î³µ´Ù. ºñ¹Ð¹øÈ£ ¾ø´Â ¼¼»óÀ» »ó»óÇÏ´Â °Ô Áö±ÝÀ¸·Î¼´Â ½¬¿î °Ô ¾Æ´Ï°ÚÁö¸¸(±×·¡¼ °ÅºÎ°¨ÀÌ ÀÖÀ» ¼öµµ ÀÖÁö¸¸) ÀÌ¹Ì Àü ¼¼°è ¼ö¾ï ´ëÀÇ Àåºñ°¡ ºñ¹Ð¹øÈ£ ¾øÀÌ º¸È£ ¹Þ°í ÀÖ´Ù. ºñ¹Ð¹øÈ£¿ÍÀÇ ÀÛº°À» ¹Þ¾Æµé¿©¾ß ÇÒ ¶§´Ù.
ºñ¹Ð¹øÈ£ ¾ø´Â ´ÙÁßÀÎÁõÀ̶ó°í ÇÑ´Ù¸é ¹°¸® º¸¾È Å°, Ư¼ö ÀÎÁõ ¾Û, »ýü ÀÎÁõ Á¤º¸ µî º¸´Ù ¾ÈÀüÇÏ°í ½¬¿î È°¿ëÀÌ °¡´ÉÇÑ ¿ä¼Òµé·Î ±¸¼ºµÇ´Â °ÍÀÌ º¸ÅëÀÌ´Ù. ÀÌ ´Ü´ÜÇÏ°í ¾ÈÀüÇÑ ¿ä¼ÒµéÀ» µÎ°í ºñ¹Ð¹øÈ£¸¦ °íÁýÇÏ°í ÀÖ´Â °Ô ÇöÀç ¿ì¸®°¡ ¸»ÇÏ´Â ´ÙÁßÀÎÁõÀÌ´Ù.
ºñ¹Ð¹øÈ£´Â ¹®Á¦ ¾øÁö¸¸, ºñ¹Ð¹øÈ£¸¦ »ç¿ëÇÏ°í °ü¸®ÇÏ´Â ¹æ¹ý¿¡ ¹®Á¦°¡ ÀÖ´Ù´Â ÁÖÀåµéÀÌ ÀÖ´Ù´Â °ÍÀ» ¾Ë°í ÀÖ´Ù. ÇÊÀÚ´Â ±×°ÍÀÌ °á±¹ ¸»À峿¡ ºÒ°úÇÑ ÁÖÀåÀ̶ó°í »ý°¢ÇÑ´Ù. ¹®Á¦´Â °á±¹ ºñ¹Ð¹øÈ£ ±× ÀÚü´Ù. À̷лóÀ¸·Î¸¸ ¾ÈÀüÇÏ°í Çö½Ç¿¡¼´Â µµ¹«Áö ±× ¾ÈÀü¼ºÀÌ ¹ßÈÖµÇÁö ¾Ê´Â´Ù¸é, ±×°Ç º¸¾È ÀåÄ¡·Î¼ °¡Ä¡°¡ ¾ø´Ù´Â ¶æÀÌ´Ù. º¸¾ÈÀº ȯ»ó¿¡ Á¸ÀçÇÏ´Â Çй®ÀÌ ¾Æ´Ï¶ó ½ÇÁ¸ÀûÀÎ °ÍÀ̸ç, ¿ì¸®ÀÇ »ýÈ°ÀÌ´Ù.
±×·¯¹Ç·Î ±êÇãºêÀÇ ´ÙÁßÀÎÁõ µµÀÔÀ» Á¦ÇÑ ½Ã°£À» ¾Ö½á ±â´Ù¸± ÇÊ¿ä°¡ ¾ø´Ù. Áö±ÝÀÌ¶óµµ µµÀÔÇϵÇ, ºñ¹Ð¹øÈ£¸¦ »ç¿ëÇÏÁö ¾Ê´Â ÂÊÀ¸·Î °¡´Â °Ô È¿°úÀûÀÏ °ÍÀÌ´Ù. ±êÇãºê¸¦ È°¹ßÈ÷ ÀÌ¿ëÇÏ¿© ¼ÒÇÁÆ®¿þ¾î¸¦ °³¹ßÇÏ´Â »ç¶÷µéÀ̶ó¸é ±â¾÷À̳ª »ç¶÷À̶ó¸é ´õ´õ¿í ±×·¸´Ù. ±êÇãºê°¡ »¡¸® ¿òÁ÷ÀÏ ¼ö ¾ø´Ù¸é, ¿ì¸®¶óµµ ±×·¸°Ô ÇÏÀÚ.
±Û : ÄÉºó µ¨¶ó´Ï(Kevin Delaney), ¿£Áö´Ï¾î¸µ ±¹Àå, Security Compass
[±¹Á¦ºÎ ¹®Á¤ÈÄ ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>