[º¸¾È´º½º ¹ÚÀºÁÖ ±âÀÚ] Ŭ¶ó¿ìµå ³×ÀÌƼºê º¸¾ÈÀ» Á¦°øÇÏ´Â ¾ÆÄí¾Æ ½ÃÅ¥¸®Æ¼(Aqua Security)°¡ ¼ÒÇÁÆ®¿þ¾î °ø±Þ¸Á °ø°ÝÀ» ¿¹¹æÇÏ°í CI/CD(Áö¼ÓÀû ÅëÇÕ/Áö¼ÓÀû ¹èÆ÷) ÆÄÀÌÇÁ¶óÀÎÀÇ ¹«°á¼ºÀ» º¸ÀåÇÏ´Â ÆÄÀÌÇÁ¶óÀÎ ¹«°á¼º ½ºÄ³´×(Pipeline Integrity Scanning)À» Ãß°¡Çß´Ù°í 15ÀÏ ¹àÇû´Ù.
[·Î°í=¾ÆÄí¾Æ ½ÃÅ¥¸®Æ¼]
¾ÆÄí¾Æ ½ÃÅ¥¸®Æ¼´Â ¼ÒÇÁÆ®¿þ¾î °ø±Þ¸Á °ø°ÝÀÌ Áõ°¡ÇÏ°í À§Çù ȯ°æÀÌ ²÷ÀÓ¾øÀÌ º¯ÈÇÔ¿¡ µû¶ó ±â¾÷Àº ÀÌÁ¦ º¸¾È º£½ºÆ® ÇÁ·¢Æ¼½º¸¦ ¼ÒÇÁÆ®¿þ¾î °³¹ß ¶óÀÌÇÁ»çÀÌŬ Àü¹Ý¿¡ ÅëÇÕ½ÃÄÑ¾ß ÇÑ´Ù°í ¸»Çß´Ù. ÇØ´ç º£½ºÆ® ÇÁ·¢Æ¼½º Áß Çϳª·Î ¼ÒÇÁÆ®¿þ¾î ¹«°á¼º °ËÁõ(Software Integrity Validation)ÀÌ SLSA, NISTÀÇ º¸¾È ¼ÒÇÁÆ®¿þ¾î °³¹ß ÇÁ·¹ÀÓ¿öÅ©(NIST Secure Software Development Framework) ¹× CISÀÇ ¼ÒÇÁÆ®¿þ¾î °ø±Þ¸Á º¥Ä¡¸¶Å©(CIS Software Supply Chain Benchmark)¸¦ Æ÷ÇÔÇÑ °ø±Þ¸Á º¸¾ÈÀ» À§ÇÑ »ê¾÷ ÇÁ·¹ÀÓ¿öÅ©ÀÇ ÇÙ½É ¿ä°ÇÀ¸·Î ¾ð±ÞµÇ°í ÀÖ´Ù.
¾Æ¹Ì¸£ Àúºñ(Amir Jerbi) ¾ÆÄí¾Æ ½ÃÅ¥¸®Æ¼ CTO´Â ¡°¼Ö¶óÀ©Áî(SolarWinds) »çÅ·Π¼ÒÇÁÆ®¿þ¾î ºôµå ÇÁ·Î¼¼½ºÀÇ ¹«°á¼ºÀÌ Ä§ÇصÆÀ» ¶§ÀÇ Æı«Àû È¿°ú¸¦ °æÇèÇß°í, Áö¼ÓÀûÀ¸·Î ¼ÒÇÁÆ®¿þ¾î ¹«°á¼ºÀ» °ËÁõÇØ¾ß ÇÏ´Â Çʿ伺ÀÌ ÀÔÁõµÆ´Ù¡±¸ç ¡°¿ì¸®ÀÇ »õ·Î¿î ÆÄÀÌÇÁ¶óÀÎ ¹«°á¼º ½ºÄ³³Ê´Â Çö´ëÀû °³¹ß ÇÁ·Î¼¼½ºÀÇ ¹«°á¼ºÀ» È®º¸ÇÏ°í ÀÌ·± Æı«ÀûÀÎ ¼ÒÇÁÆ®¿þ¾î °ø±Þ¸Á °ø°ÝÀ» ´ëºñÇØ¾ß ÇÏ´Â ¾÷°èÀÇ ½Ã±ÞÇÑ ¿ä±¸¸¦ ÇØ°áÇÑ´Ù¡±°í ¸»Çß´Ù.
¾ÆÄí¾ÆÀÇ ÆÄÀÌÇÁ¶óÀÎ ¹«°á¼º ½ºÄ³³Ê´Â °ø±Þ¸Á °ø°ÝÀÇ Æ¯Â¡ÀÎ Àǽɽº·¯¿î Çàųª ¸Ö¿þ¾î¸¦ ŽÁöÇÑ´Ù. ¶ÇÇÑ, ¾ÆÄí¾Æ ³ëÆ¿·¯½º(Aqua Nautilus) ¿¬±¸ÆÀÀÌ Á¤¸³ÇÑ Çൿ ½Ã±×´Ïó(Behavioral Signatures)¸¦ È°¿ëÇØ ÇöÀç È°µ¿ ÁßÀΠŬ¶ó¿ìµå ³×ÀÌƼºê °ø°Ý ±â¹ÝÀ¸·Î Á¦·Îµ¥ÀÌ À§ÇùÀ» ŽÁöÇÑ´Ù.
°³¹ßÀÚ´Â ÆÄÀÌÇÁ¶óÀÎ ¹«°á¼º ½ºÄ³´×À» ºôµå ÆÄÀÌÇÁ¶óÀΰú ¿¬°áÇؼ ´ÙÀ½À» Áö¿øÇÒ ¼ö ÀÖ´Ù°í ¼³¸íÇß´Ù.
- ºôµå ÆÄÀÌÇÁ¶óÀÎÀ» ¸ð´ÏÅÍÇÏ°í ºôµå ¿î¿µÀÇ ±âÁؼ±(º£À̽º¶óÀÎ)À» Á¤ÀÇÇÑ´Ù. ºôµå ÆÄÀÌÇÁ¶óÀÎ ½ÇÇà ¹æ¹ý°ú ¾Ë·ÁÁø Á¤»óÀû ȯ°æ¿¡¼ ÀϹÝÀûÀÎ ³×Æ®¿öÅ© È°µ¿, ÆÄÀÏ ¾×¼¼½º ÆÐÅÏ, ÇÁ·Î¼¼½º È°µ¿ÀÌ ¾î¶² °ÍÀÎÁö °³¹ßÆÀÀÌ ÆľÇÇÒ ¼ö ÀÖ´Ù.
- ±âÁؼ±¿¡¼ ¸Ö¾îÁö´Â ¸ðµç °ÍÀ» ŽÁöÇÑ´Ù. ±âÁؼ±ÀÌ È®¸³µÇ¸é ½ºÄ³³Ê°¡ ÀÌ »óÅ¿¡¼ ¸Ö¾îÁö´Â ¸ðµç °Í(µå¸®ÇÁÆ®)À» ŽÁö(¿¹»óÄ¡ ¸øÇÑ ÆÄÀÏ º¯°æ, Àǽɽº·¯¿î URL °úÀÇ Ä¿¹Â´ÏÄÉÀ̼Ç, ´Ù¿î·ÎµåµÈ ¾Ç¼º ½ÇÇà ÆÄÀÏ »ç¿ëÀ» Æ÷ÇÔ)ÇØ Æ¯ÀÌÇϰųª ÀÌ»óÇÑ ¸ðµç È°µ¿¿¡ ´ëÇÑ ¾ó·¯Æ®¸¦ ÅëÇØ ºôµå ÇÁ·Î¼¼½ºÀÇ ¹«°á¼ºÀ» º¸ÀåÇØ ÁØ´Ù.
- °ø°Ý º¤Å͸¦ ÃÖ¼ÒÈÇÑ´Ù. ÆÄÀÌÇÁ¶óÀÎ µå¸®ÇÁÆ®¸¦ Áö¼ÓÀûÀ¸·Î ½ºÄ³´×ÇØ CI/CD ÆÄÀÌÇÁ¶óÀÎÀÇ º¸¾È °£±ØÀ» ÇؼÒÇÑ´Ù. °³¹ßÆÀÀº ¼ÒÇÁÆ®¿þ¾î ºôµå ÇÁ·Î¼¼½ºÀÇ °¡Àå Ãʱ⠴ܰèºÎÅÍ ÄÚµå º¯Á¶¸¦ ¿¹¹æÇÏ°í °³¹ß ÅøÀÇ ¹«°á¼ºÀ» À¯ÁöÇÒ ¼ö ÀÖ´Ù.
- º¸Áõ Á¤Ã¥À» ¼³Á¤ÇÑ´Ù. ¾ÈÀüÇÑ °³¹ß ÇÁ·¢Æ¼½º¸¦ È®´ëÇÏ°í ¼ÒÇÁÆ®¿þ¾î ¹«°á¼ºÀ» º¸ÁõÇϱâ À§ÇØ º¸Áõ Á¤Ã¥(Assurance Policies)À» Àû¿ëÇÑ´Ù. Àǽɽº·¯¿î È°µ¿ÀÇ Â¡ÈÄ°¡ º¸ÀÌ´Â »õ·Î¿î ºôµåÀÇ ¿Ï¼ºÀ» Â÷´ÜÇÒ ¼ö ÀÖ´Ù. À̸¦ ÅëÇØ °³¹ßÀÚ´Â °³¹ß ÇÁ·Î¼¼½º ´Ü°è¿¡¼ À§Çè¿¡ ´ëÀÀÇÒ ¼ö ÀÖ´Ù.
Àúºñ CTO´Â ¡°ÀÌ·± À¯ÇüÀÇ ¼Ö·ç¼ÇÀº ¾ÆÄí¾Æ°¡ ÃÖÃÊ·Î ¼±º¸ÀÌ´Â °Í¡±À̶ó¸ç ¡°´Ù¸¥ ¼ÒÇÁÆ®¿þ¾î °ø±Þ¸Á º¸¾È ÅøÀº ÄÚµå ½ºÄ³´×À̳ª ¼ÒÇÁÆ®¿þ¾î ÀÚÀç ¸í¼¼¼ ¶Ç´Â SBOM°ú °°Àº ºôµå ¾ÆƼÆÑÆ®ÀÇ Á¤Àû ºÐ¼®¿¡¸¸ ÁýÁßÇÑ´Ù. À̰͵µ Áß¿äÇϱä ÇÏÁö¸¸ ÀÌ·± À¯ÇüÀÇ °ø±Þ¸Á °ø°ÝÀ» ŽÁöÇÏ°í ÁߴܽÃÅ°±â¿¡´Â ºÒÃæºÐÇÏ´Ù´Â »ç½ÇÀÌ ÀÔÁõµÆ´Ù¡±°í ¼³¸íÇß´Ù.
¾ÆÄí¾ÆÀÇ ÆÄÀÌÇÁ¶óÀÎ ¹«°á¼º ½ºÄ³³Ê´Â ÀÚ»çÀÇ °ß°íÇÑ ¿ÀǼҽº ·±Å¸ÀÓ º¸¾È ¹× ¸®´ª½º Æ÷·»½Ä ¼¾¼ÀÎ Æ®·¹À̽Ã(Tracee)¸¦ È°¿ëÇÑ´Ù. eBPF ±â¼úÀº °æ·® ±â´É ´öºÐ¿¡ ºôµå ·±Å¸ÀÓ¿¡ ´ëÇÑ °¡½Ã¼ºÀ» Á¦°øÇÏ°í ¿µÇâÀ» ÃÖ¼ÒÈÇÏ¸é¼ ½Ç½Ã°£À¸·Î À§ÇùÀ» °¨ÁöÇÒ ¼ö ÀÖ´Ù. °³¹ßÆÀÀº eBPF ±â¹Ý ½ºÄ³´× ¹× Á¤Ã¥À» ÅëÇØ ¿øº» ºôµåÀÇ µå¸®ÇÁÆ®¸¦ ŽÁö ¹× Â÷´Ü½ÃÄÑ ¹«´Ü ¾×¼¼½º·ÎºÎÅÍ ¼ÒÇÁÆ®¿þ¾î¸¦ º¸È£ÇÏ°í °ø±Þ¸Á °ø°ÝÀ» ¿¹¹æÇÒ ¼ö ÀÖ´Ù.
ÀÌ·¯ÇÑ ¿ªµ¿ÀûÀÎ ±â¼úÀº ÄÚµå ½ºÄ³´×, CI/CD ż¼ °ü¸®, Â÷¼¼´ë SBOMÀ» Æ÷ÇÔÇÑ ±âÁ¸ÀÇ ½ÃÇÁÆ® ·¹ÇÁÆ®(shift-left) ¼º´ÉÀ» º¸¿ÏÇØ Æ÷°ýÀûÀÎ º¸È£ ¼º´ÉÀ» Á¦°øÇÑ´Ù.
ÆÄÀÌÇÁ¶óÀÎÀÇ ¹«°á¼º ½ºÄ³´×Àº ÄÚµå¿Í ¸ðµç °³¹ß ÀÎÇÁ¶ó, ÆÄÀÌÇÁ¶óÀÎ ÇÁ·Î¼¼½º¸¦ º¸È£ÇÏ´Â ¼ÒÇÁÆ®¿þ¾î °ø±Þ¸Á(Software Supply Chain Security) ¼Ö·ç¼Ç¿¡ Æ÷ÇԵȴÙ. ÇØ´ç º¸¾È ¼ºñ½º´Â ¡®¾ÆÄí¾Æ Ŭ¶ó¿ìµå º¸¾È Ç÷§Æû(Aqua Cloud Security Platform)¡¯À» ÅëÇØ Á¦°øµÈ´Ù. Ŭ¶ó¿ìµå¿Í °³¹ß ȯ°æÀ» ¿¬°áÇØ ·±Å¸ÀÓ¿¡ ¹ß»ýÇÏ´Â ¸®½ºÅ©¿¡ ´ëÇÑ Äڵ带 ÃßÀûÇÏ°í, ÀÌ¾î¼ ¸®½ºÅ©¸¦ ÇØ°áÇÒ ¼ö ÀÖ´Â °³¹ßÀÚ±îÁö ¿¬°á½ÃÄÑ º¸¾È ÇÁ·Î±×·¥ÀÇ ¿î¿µ È¿À²À» ³ôÇôÁØ´Ù.
¾ÆÄí¾ÆÀÇ ÆÄÀÌÇÁ¶óÀÎ ¹«°á¼º ½ºÄ³³Ê¿¡ ´ëÇÑ º¸´Ù ÀÚ¼¼ÇÑ ³»¿ëÀº ºí·Î±×¿¡¼ È®ÀÎÇÒ ¼ö ÀÖ´Ù.
[¹ÚÀºÁÖ ±âÀÚ(boan5@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>