[한국정보보호학회 칼럼] 소프트웨어 공급망 보안의 글로벌 동향

미국과 EU는 물론 일본과 한국 등 주요 국가 모두 공급망 보안 강화 노력
국정원과 과기정통부, 공급망 보안 관련 국가적 로드맵 준비...글로벌 동향에 부응 기대

[보안뉴스= 이만희 한국정보보호학회 공급망보안연구회 위원장] 공급망이란 원재료를 획득하고, 이 원재료를 중간재나 최종재로 변환하고, 최종제품을 고객까지 유통하기 위한 조직 및 비즈니스 프로세스 네트워크를 통칭한다. 김치찌개의 공급망인 김치를 예로 들어보자. 김치의 생산 공장 확인뿐 아니라, 김치의 재료인 배추, 고춧가루, 마늘은 어디서 공급되었는지를 관리하는 것이 공급망 관리다. 공급망의 철저한 관리는 신선도와 맛을 유지하는 데도 중요한 역할을 하지만 김치찌개에 문제 발생 시 어떤 재료, 어느 배달 과정에서 문제가 발생했는지 추적할 수 있다.

[이미지=gettyimagebank]

소프트웨어 공급망 보안이란 소프트웨어 개발 및 도입 시 취약점을 점검하는 수준을 넘어 소프트웨어 개발에 사용된 모든 부속 소프트웨어의 출처, 개발자 정보 등 소프트웨어에 포함된 모든 컴포넌트를 명세해 소프트웨어 보안 문제 발생 시 원인 추적성을 확보할 뿐 아니라, 개발환경 및 빌드, 배포/업데이트 서버 등 소프트웨어의 설계, 개발, 배포 및 유지 관리에 이르는 소프트웨어 생에 전주기에서 소프트웨어의 보안에 영향을 미칠 수 있는 모든 환경에 대한 보안 강화를 통해 전체적인 소프트웨어의 보안성을 향상하고자 하는 소프트웨어 보안의 새로운 트렌드라고 할 수 있다. 지난 5월 우리나라도 ‘SW 공급망 보안 가이드라인’을 배포하면서 보안 분야를 포함한 산업 전반에 많은 관심을 불러일으키고 있다. 이에 여기서는 우리나라를 비롯한 공급망 보안 분야의 글로벌 동향을 소개한다.

국가별 동향부터 살펴보면, 미국이 가장 먼저 공급망 보안 규제를 시작했다. 2020년 말에 발생한 솔라윈즈 공급망 공격으로 큰 홍역을 치르고, 대통령 행정명령 14028로 연방정부에 납품되는 모든 소프트웨어에 일정 수준 이상의 공급망 보안관리를 요구하기 위한 로드맵을 제시했던 미국은 3년여의 준비 끝에 드디어 지난달부터 공급망 보안 규제를 시작했다. 규제의 주요 내용은 소프트웨어 납품시 ‘Secure Software Development Attestation Form’을 제출해야 한다. 이 문서는 NIST에서 개발한 Secure Software Development Framework(SSDF, NIST 800-218)에 따라 소프트웨어의 개발환경 보안, 출처 검증, 취약점 관리 등을 잘 수행했다는 자체명세서다. CISA 관계자의 따르면 현재 자가명세서가 기술적인 체크리스트가 아닌 선언적 계약 문서이므로, 향후 보다 상세한 체크리스트 형태의 명세서가 필요할 것으로 예상한다고 한다.

두 번째로 살펴볼 지역은 EU다. 지난 3월 Cyber Resilience Act(CRA)가 EU 의회를 통과했고, 올해 내로 EU 이사회를 통과하면 3년의 유예기간을 거친 후 2027년에 발효가 될 것으로 보인다. 이미 작년 말에 EU 의회와 이사회가 이 법안을 통과시키기로 동의했으므로, 법적 절차만 남은 이 법의 통과는 기정화된 사실이다. 이 법의 주요 내용은 EU에 판매되는 소프트웨어가 탑재된 거의 모든 제품에 대해 알려진 취약점 제거, SBOM 생성 관리, 판매 후 취약점 발견 시 패치 제공 및 사용자 알림, 심각한 취약점 발견시 ENISA 보고 등을 포함하고 있다.

미국의 제도와 비교를 하면 자체증명서가 연방정부에 납품되는 소프트웨어에 대한 규제라면 CRA는 유럽연합에 판매되는 소프트웨어가 포함된 모든 전자제품이므로 그 범위가 훨씬 넓다. 또한 자체명세서는 공급망 보안에 대한 개념적 요구사항을 명시하고 있다면 CRA는 매우 높은 보안 요구사항을 제시함하고 있다. 보안 연구자 입장에서도 과연 이 정도 수준의 제품 개발과 취약점 관리 체계를 만들 수 있을까 싶을 정도로 어려운 수준이다. 하지만 이 법이 통과될 경우 EU 시장에 접근하기 위해서는 최고 수준의 보안수준을 갖추어야 하며, 이를 어겼을 경우 최소 200억 정도의 과징금을 받는다. 이제 장기적으로는 제품의 보안수준이 유럽 시장에서의 매출과 수익으로 이어질 것으로 예상된다. 앞으로 이 법이 통과되면 보다 구체화된 기술적 용어로 변환된 요구조건들이 제시될 것이고, 이는 3년 후 유럽 시장에 큰 변화가 일어날 것으로 예상된다.

세 번째로 살펴볼 곳은 일본, 독일, 한국이다. 현재까지 공급망 보안 분야에 국가 가이드라인을 만들어서 배포한 나라가 세 나라이다. 일본은 작년 처음으로 공급망 보안 가이드라인을 작성하였고, 올해 4월 버전 2를 작성하고 피드백을 받았다. 이미 UNECE WP.29(United Nations Economic Commission for Europe World Forum for Harmonization of Vehicle Regulations)를 통해 자동차 업계는 공급망 보안 관리가 필수가 된 만큼 주요 자동차 수출국인 일본은 자동차 분야에서 이미 공급망 보안 관리를 수행하고 있고, 나머지 산업 분야에 공급망 보안에 관한 관심이 높아지고 있다. 또한, 제조의 선진국답게 유럽에서 가장 빠르게 움직이고 있는 나라는 독일이다. CRA 법이 발표될 것을 대비하여 CRA의 요구조건을 반영하는 TR-03183을 작성 중에 있다. SBOM에 대한 요구사항인 Part 2(v1.0)을 작년 7월 처음 공개했고 11월에 v1.1으로 업데이트했다. 현재 CRA 법의 내용과 보안 요구사항을 담은 Part 1을 작성 중이다.

마지막으로 우리나라가 지난 5월 SW 공급망 보안 가이드라인을 발표하면서 본격적인 공급망 보안의 시작을 알렸다. 첫 삽을 국가정보원과 과기정통부, 디지털플랫폼정부위원회가 함께 참여하는 다부처 작업으로 시작한 만큼 공급망 보안에 관한 한 국가적 협업에 대한 의지가 여전히 높다. 최근 개최된 공급망 보안워크숍에서 정부는 2027년 실행을 목표로 추진할 다양한 로드맵 작성을 추진 중임을 밝혔다. 특히, 올 초 발표된 대통령실의 국가사이버안보전략에서 공급망 보안 강화에 대한 의지도 높은 상황이므로, 앞으로 2~3년이 크게 기대된다. 이 세 개 국가 외에도 인도, 네덜란드, 호주 등도 매우 적극적으로 공급망 보안 도입을 위해 추진 중이므로, 올해 또는 내년에 더 다양한 국가의 움직임이 나타날 것으로 예상된다.

[이미지=gettyimagebank]

국가별 글로벌 동향 외에도 최근 공급망 보안 관련 표준화도 큰 움직임이 있었다. 현재까지 SBOM의 실질적 세계적 표준으로 사용되는 SPDX와 CycloneDX가 각각 업데이트되면서 많은 변화가 있다. 리눅스 재단에서 만든 SPDX는 최근 버전 3.0을 발표하였다. SPDX의 원래 목적은 오픈소스의 라이선스를 관리하기 위한 것으로서 취약점 정보를 관리하기에 적합하지 않다는 평을 들었었다. 하지만 최근 버전에서는 취약점 및 보안 관련 정보를 담을 수 있도록 하면서 보안 분야 활용성을 크게 높였다.

OWASP에서 추진하는 CycloneDX는 태생이 취약점을 관리하기 위한 용도로 개발되어 공급망 보안 분야에서 활용하기에 더 적합했었다. 이 CyloneDX도 1.3에서 1.6으로 버전을 업데이트하면서 Cryptographic Bill of Materials(CBOM)과 CycloneDX Attestations(CDXA)를 추가하였다. CBOM은 암호알고리즘의 구현 정보를 제공함으로써 암호알고리즘의 신뢰성을 높이고자 제안되었다. 양자컴퓨팅 시대를 대비하여 PQC 개발이 한창인 상황에서 차세대 암호알고리즘 구현에는 CBOM 명세가 많이 요구될 것으로 보인다. CDXA는 보안 요구사항을 명세하는 표준으로써, 사람이 읽을 수 있는 보안 요구사항은 사람에 따라 서로 다르게 이해될 수 있으므로, 항상 이견의 여지가 있었다. 이 문제를 해결하기 위해 CDXA는 기계 판독 가능한 형태로 보안 요구사항을 보다 명확하게 작성할 수 있게 되었다. 아직 표준이 제안된 지 얼마 되지 않아 CBOM과 CDXA가 많이 사용되지 않지만, 장기적으로는 많이 활용될 것으로 기대된다.

안타까운 점은 리눅스 재단과 OWASP 재단이 각자 열심히 표준을 만들어 가는 동안 세계에 많은 기업들과 기관들은 두 포맷의 SBOM을 모두 만들거나 하나의 포맷을 선택해야 하는 상황에 놓여 있었다. 두 표준이 완전히 호환된다고 보기 어렵기 때문에 그만큼 실제 관리를 수행하는 쪽으로서는 많은 어려움이 있었다. 이를 해결하기 위한 노력으로 OpenSSF의 주도로 Protobom이 제안됐다. Protobom은 프로토콜 버퍼(Protocol Buffers) 형식으로 표현된 SBOM 데이터를 의미하며, SPDX와 CycloneDX 문서를 손실 없이 수용하기 위한 목적이지만, 아직 많은 곳에서 사용되지는 않고 있다.

또한, 표준화 단체인 OASIS Open에서 Open Supply Chain Information Modeling(OSIM) 기술위원회를 구성한다고 발표했다. 이 위원회의 목표는 CSAF, CycloneDX, OpenVEX, SPDX 등 기존 SBOM 및 분안 표준을 통합하고 강화하는 프레임워크를 만드는 것이고, 이 프레임워크를 통해 소프트웨어 개발 및 운영자에게 보다 편리하게 높은 투명성을 제공하는 것이 주요 목표이다. 따라서 현재까지 세계적으로 2개의 포맷이 사용되고 있으나, Protobom과 도입과 OASIS OSIM의 표준화에 따라 향후 좀 더 다양한 명세 방안이 나올 것으로 기대된다.

SBOM에 대한 세계적 표준화 추진 상황에 매우 흥미로운 SBOM 명세의 노력이 있다. 바로 중국의 SBOM 표준화 노력이다. 지난 5월 중국 정보보안 관련 표준화를 담당하는 TC260에서 SBOM 포맷 표준화를 작업 중이며 초안을 공개한 상태이며 7월 15일까지 피드백을 받았다. 주요 내용을 새로운 SBOM 포맷을 설명하고 있고, 필수 항목들도 제안하고 있다. 정보보안 쪽에서 표준화를 하다 보니 라이선스 정보는 물론 컴포넌트의 취약점 정보도 실을 수 있게 되어 있다. 중국과의 교역이 매우 중요한 우리나라 기업과 정부는 이 움직임도 유심히 살펴야겠다. 중국에서 수출되는 모든 소프트웨어 제품에 중국에서 제안한 SBOM을 명세하라는 의무가 부가될 경우, 준비가 안 된 기업은 중국에 수출할 수 없게 되기 때문이다. 중국 측의 무역장벽을 넘어서기 위해서는 중국의 표준에 따라 SBOM을 제작할 수 있는 능력을 갖추어야겠다.

마지막으로 소개할 글로벌 동향은 신분야 공급망 보안 추진현황이다. 이제까지의 공급망 보안은 패키지 형태로 리눅스 시스템 또는 PC에 설치되어 사용되는 소프트웨어의 생애주기에서 공급망 보안을 관리하는 것이 주요 목표였다. 하지만 최근 두 가지 새로운 형태의 소프트웨어가 급속도로 사용되고 있다. 바로 클라우드 기반 소프트웨어와 인공지능 소프트웨어이다. 먼저 SaaS 기반 클라우드 소프트웨어의 경우, 마이크로 서비스라고 불리는 다양한 서비스들을 API 형태로 호출하여 서비스를 개발한다. 따라서 하나의 실행 파일로 바인딩 되어 있는 전통적인 소프트웨어와 결합 형태부터 다르며, 그 서비스가 동적으로 바뀔 수도 있다. 현재 이를 명세하기 위해 CycloneDX에 Software-as-a-Service BOM(SaaSBOM)이 제안되었지만, 아직 SaaS 서비스에서 이 SaaSBOM을 제공하거나 명세했다는 내용을 찾을 수는 없었다. 최근 미국 정부가 클라우드를 사용할 때 요구하는 보안 기준인 FedRAMP에서 공급망 보안을 조금 강화하긴 했지만, 아직 SaaSBOM 작성 요구 등은 없었다. 하지만 점점 많은 소프트웨어들이 SaaS 형태로 개발되고 있으며 이로 인해 SaaS에 더 많은 개인정보와 기업정보가 처리되므로 SaaS에 대한 공급망 보안 요구사항은 점점 더 강화될 것으로 예상된다. 그나마 SaaS는 SaaSBOM이라도 명세 되었지만, IaaS, PaaS 등은 아직 표준화조차 없다. 이 서비스 또한 중요 공급망 요소이므로 언젠가는 명세 방안이 나와야 할 것으로 보인다.

▲이만희 한국정보보호학회 공급망보안연구회 위원장[사진=보안뉴스]

ChatGPT의 등장 이후 인공지능 소프트웨어가 급속도로 활용되고 있다. 대부분의 인공지능 소프트웨어는 PyTorch나 TensorFlow 등과 같은 AI 프레임워크 기반으로 개발하며, 최근에는 Hugging Face 등 미리 trained된 모델을 내려받아 목적에 맞게 커스터마이즈함으로써 인공지능 소프트웨어 개발 속도를 더욱 빠르게 하고 있다. 그런데 PyTorch, TensorFlow에 취약점이 발견되기도 하고, Hugging Face에도 악성 행위를 하도록 정교하게 만들어진 악성 모델들의 발견되기도 하면서 인공지능 소프트웨어에 대한 공급망 보안에 대한 관심이 높아지고 있다. 다만 인공지능 소프트웨어의 경우, 일반 소프트웨어의 구성명세서와는 다른 정보가 필요하다. 예를 들면, 개발에 사용한 프레임워크 정보뿐만 아니라 해당 모델 개발을 위해 사용된 기초 모델 정보, 그리고 이 모델의 훈련을 위해 사용한 데이터에 대한 정보가 있어야 인공지능 소프트웨어에 대한 신뢰성을 검증할 수 있다. 이를 위해 CycloneDX에서는 Machine Learning Bill of Materials(MLBOM), SPDX에서는 AI Bill of Materials(AIBOM)을 각각 발표하며 인공지능 소프트웨어의 투명성과 취약성을 표현하기 위한 노력 중이다. 아직 ML/AI BOM을 제공하는 인공지능 소프트웨어는 없지만, 가까운 시일 내에 인공지능 소프트웨어에 대한 공급망 보안 요구가 높아질 것으로 예상된다.

불과 2년 전에는 패키지 형태의 소프트웨어를 명세할 표준 2개와 관심 지역 두 군데 정도였으나, 지금은 미국의 규제 시작, 유럽의 법제화 마무리 직전, 우리나라를 포함한 3개국의 가이드라인 제작이 이루어졌고, 양대 SBOM 표준의 업데이트와 새로운 표준화 그룹 등장과 아울러, 클라우드 소프트웨어와 인공지능 소프트웨어 보안까지 공급망 보안의 범위가 매우 빠르게 확장되고 있다. 마침 우리나라도 국가정보원과 과기정통부가 함께 공급망 보안 관련 국가적 로드맵을 작성하고 있다고 하니, 여기에 소개된 글로벌 동향에 대응할 수 있는 로드맵이 나올 수 있기를 기대한다.
[글_이만희 한국정보보호학회 공급망보안연구회 위원장/한남대 컴퓨터공학과 교수]

최근 발생한 크라우드 스트라이크의 보안 SW 업데이트 오류 사태처럼 SW 공급망에 보안이슈가 발생할 경우 관련된 각종 시스템 및 IT 인프라 마비가 일어날 수 있다는 게 드러났습니다. 이러한 공급망 보안을 위협하는 가장 큰 요인은 무엇이라고 생각하시나요?
	랜섬웨어, 피싱 등의 사이버 공격
	SW 업데이트 및 SW 교체 과정에서의 오류
	SW 자체에 존재하는 보안 취약점
	시스템 관리자의 운영상 실수 및 관리 미흡
	기타(댓글로)