[이슈칼럼] 보안기업의 공급망 보안 강화 위한 ‘취약점 관리 방법’

넷앤드, 전사적 보안 취약점 관리 전략으로 SW 공급망 보안 우수 기업 발돋움
ISO27001 인증부터 모의 해킹과 시큐어 코딩 교육, 마지막 사후 관리 프로세스까지 수립

[보안뉴스= 넷앤드 박일 정보보안팀 부장] 코로나 팬데믹으로 비즈니스가 비대면 환경으로 빠르게 전환되고, 정보가 데이터화 돼 기업 안팎의 네트워크를 통해 오가게 되었다. 이에 따라 소프트웨어 벤더사들은 빠른 개발 및 배포를 추구할 수밖에 없었고, 이는 오픈소스 사용의 가속화와 함께 시큐어코딩 준수를 어렵게 만들었다.

이러한 상황을 악용한 공급망 공격이 전 세계적으로 대규모 피해를 일으키며 성행하게 되면서 공급망 보안 관련 규제도 날로 강화되고 있다. 최근 KISA에서 발표한 ‘SW 공급망 보안 가이드라인’에 따르면, 앞으로 정부기관에 SW 납품 시 SBOM(소프트웨어 자재 명세서) 제출을 의무화하고, 구매 계약 시 공급망 보안 요구사항을 추가하라는 내용까지 검토되고 있다.

이렇듯 기업이 취약점 관리를 소홀히 해 발생한 보안사고는 강력한 법적 규제, 손해배상, 명성 손상, 비즈니스 기회 상실 및 재정적 피해로 이어져 결국 기업의 존폐를 위협할 수 있다.

통합 접근통제 및 계정관리 솔루션 개발 기업인 넷앤드 역시 과거 취약점 관리의 부재로 취약점 사후 관리를 위해 막대한 비용과 기회 손실을 경험했다. 이러한 문제를 반복적으로 경험하면서 보안 취약점 관리의 중요성을 인식하고 이를 해결하기 위해 취약점 관리 TF를 구성, 관련 전략 수립과 과감한 조치로 성과를 거두어 업계의 주목을 받았다.

넷앤드는 최근 공급망 보안 취약점 관리 방안을 고민하는 많은 소프트웨어 벤더사들을 위해 넷앤드의 지난 경험과 전략을 토대로 어떻게 보안 취약점을 관리하고 고객의 신뢰와 비즈니스 경쟁 우위를 확보할 수 있을지 공유했다.

IT 보안 컴플라이언스와 ISO27001 인증
정보보안에 있어 소프트웨어 벤더사와 고객 모두에게 가장 중요한 것은 사실 법규 준수다. 넷앤드 역시 관련 법규 준수를 최우선 목표로 삼고, 글로벌 스탠다드를 따르는 것이 좋겠다는 판단하에 국제표준 정보보호 경영시스템 인증인 ISO27001 획득을 첫 번째 목표로 했다. IT 관련 최신 트렌드와 규제는 대부분 미국과 EU에서 시작돼 전 세계에 확대 적용된다. 우리나라 역시 크게 다르지 않다. 따라서 ISO27001 인증을 준수하면 국제표준에서 요구하는 최소한의 보안 수준을 마련할 수 있다.

공급망은 단순히 제품 하나에 국한되지 않고 제품 개발, 패키징, 배포, 구축, 운영, 유지보수에 가담하는 모든 인력 리소스와 인프라를 포함한다. 실제로 넷앤드는 ISO27001 인증을 준비하는 과정에서 전사적 보안 수준과 인적 보안 및 교육, 정보자산 관리 등을 점검하고 개선했고, 보안성 검토나 감사를 임직원들에게 공식화해 보안 경영의 기반을 마련했다.

모의해킹과 시큐어코딩 교육
결국 취약점의 끝은 중요 정보와 자산의 탈취로 이어진다. 넷앤드는 일정 수준 이상의 화이트 해커를 보유한 전문업체와 연간 협약을 맺었다. 주기적인 진단과 모의 침투 테스트를 통해 발견한 결함을 이행 조치해 제품 제조 공정에 포함시켰다. 또한, 이렇게 쌓인 결함 히스토리를 모아 리뷰하고 시큐어 코딩 가이드를 제작 및 교육해 같은 문제가 재발하지 않도록 하고 있다.

전문 취약점 식별 도구 도입
넷앤드는 다양한 취약점 식별 도구를 도입해 보안성을 강화했다. 오픈소스 제품은 최신 기술 적용과 Best Practice 모델 적용에 불확실성이 있었기 때문에 넷앤드는 다수 레퍼런스를 보유한 스패로우의 소스코드 진단 제품(SAST)를 선택했다. SAST는 개발 단계에서 사용되며, 각 개발팀장이 상시 진단을 실시한다. 오픈소스 취약점 진단도구(SCA)는 SBOM 추출을 통해 사용된 오픈소스와 버전을 파악하게 해준다. 그리고 동적 애플리케이션 진단 도구(DAST)는 SQL 인젝션, 크로스사이트스크립트 등 OWAST TOP 10에 해당하는 애플리케이션 취약점을 스캔한다. 넷앤드는 현재 SAST, SCA, DAST 등 세 가지 도구를 솔루션 제조 공정에 포함해 제품을 릴리즈하고 있다.

공급망 전체 리소스 보안 강화와 비정규 대응 프로세스 수립
넷앤드는 공급망 전체 리소스 보안을 강화하기 위해 여러 조치를 도입했다. 공급망은 제품 개발, 패키징, 배포, 구축, 운용, 유지보수에 관련된 모든 인력과 인프라를 포함하기 때문에 이 모든 영역에서 보안을 강화해야 했다. 개발자의 PC와 내부 네트워크, 그리고 개발 소스의 리포지터리인 GitLab, Jenkins, 배포 서버 등 주요 업무 서버의 보안을 강화했다. 공급망에 참여하는 모든 인력과 조직 구성원의 보안 인식을 높이는 데에도 중점을 뒀다.

마지막으로 사후 관리 프로세스를 수립해 배포된 제품에 심각한 보안 취약점이 발생했을 때 이를 신속하게 처리하는 부서별 업무 프로세스를 마련했다. 이 프로세스는 취약점 분류를 통해 경중에 따라 우선순위를 정하고, 부서 간 긴밀한 공조 체계를 통해 고객사에 최대한 빨리 대응하는 것을 목표로 한다. 이를 통해 내부 고객사 이슈 관리 시스템에서 처리 기간이 기존 대비 약 30% 이상 단축됐다.

넷앤드는 이러한 노력을 통해 사후 관리 비용과 관리 리소스를 크게 절감할 수 있었다고 밝혔다. 작년 한 해 동안 사전에 식별 후 이행 조치한 취약점은 상급 취약점 4개와 중급 이하 8개였는데, 만약 이러한 취약점을 조치하지 않고 그대로 제품에 포함했다면 엄청난 사후 조치 비용이 발생했을 것이다. 또한, 제품의 보안성이 향상됨에 따라 고객사가 제품 도입 후 준수해야 하는 각종 보안 설정이나 모의 해킹, 취약점 진단에서 검출되는 내용이 이전보다 훨씬 적어졌기 때문에 넷앤드와 고객사 모두의 유지보수 리소스가 크게 절감됐다.

▲넷앤드 박일 부장[사진=넷앤드]

최근 정부 차원에서 공급망 보안에 대한 규제 마련 움직임이 있고, 산업 전반적으로도 소프트웨어 벤더사의 공급망 보안에 대한 요구가 증가하고 있다. 일부 기업은 구체적인 정부 규제 마련을 기다리지 않고 보안 제품을 도입할 때 소프트웨어 제조 업체가 제품 납품 시 제조사 차원의 보안성 검토 결과를 제출하고, 내부적으로 보안성 심의와 같은 절차를 통한 크로스체크로 일정 수준 이상의 보안 요건을 준수해야만 제품을 납품할 수 있도록 구매 프로세스를 정비 중인 곳도 있다. 따라서 향후 취약점 관리를 소홀히 하는 소프트웨어 벤더는 경쟁에서 도태될 수 있다. 반면, 넷앤드는 이런 성공적인 보안 취약점 관리 전략으로 고객사의 신뢰와 경쟁 우위 확보를 위한 발판을 마련했다고 볼 수 있다.

“사람의 어리석음에는 패치가 없다”는 말이 있다. 소프트웨어 취약점은 주로 개발 과정에서 사람의 실수로 발생한다. 사람은 누구나 실수할 수 있지만 그렇다고 해 그 사람을 패치할 수는 없다. 그 대신, 소프트웨어 벤더사는 제품 공급망에 관여되는 모든 인적 리소스와 인프라를 중앙에서 촘촘하게 관리하는 프로세스를 수립해야 한다. 이는 취약점 발생 가능성을 최소화하기 위한 전략으로, 시뮬레이션과 피드백을 통해 정기적으로 프로세스를 개선해야만 한다. 향후 취약점 관리를 소홀히 하는 소프트웨어 벤더는 시장에서 도태될 수밖에 없다는 점을 명심하며, 지속적인 보안 경영을 이어 나가야 할 것이다.
[글_박일 넷앤드 정보보안팀 부장(nisfree@netand.co.kr)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)