[한국정보공학기술사 보안을 論하다-21] 기업 내 공급망 보안 관리 전략

입력 : 2025-08-12 14:26

SW 투명성 확보하기 위한 핵심 수단 ‘SBOM’, SCA 통해 체계적 관리 가능
“지피지기 백전불태(知彼知己 百戰不殆)” 진정한 공급망 보안의 시작점에 서는 길

[보안뉴스= 문광석 기술사/코리안리 IT보안파트장] 2020년 3월, ‘세계에서 가장 강력한 보안을 자랑한다’는 미국 국토안보부와 국무부를 포함한 약 1만 8천여 개의 기관과 기업에 악성코드가 유포됐다.


글로벌 IT 선도국인 미국조차 9개 연방기관이 동시에 침해를 당했다. 원인은 네트워크 관리 소프트웨어 기업 ‘SolarWinds’의 제품에 백도어(Backdoor)가 심어진 채로 배포됐기 때문이다. 이 백도어가 포함된 소프트웨어를 설치한 서버들은 곧바로 악성코드의 유포지가 됐다. 이 심각한 침해는 무려 8개월이 지난 11월에서야 보안기업 파이어아이(FireEye)가 침투 흔적을 발견하면서 세상에 드러났다.

사건의 원인은 충격적으로 단순했다. 해당 개발사는 FTP 서버의 비밀번호를 ‘회사이름+123’ 수준으로 설정했고, 이 정보가 평문으로 깃허브(GitHub)에 노출되면서 공격자에게 악용된 것이다. 결국 한 기업의 허술한 비밀번호 관리가 전 세계 보안망을 무너뜨리고 국가 안보를 위협한 것이다.

이 사건은 시작에 불과했다. 이후 Microsoft Exchange, CodeCov 사건이 연이어 발생했고, 마침내 역대급 보안 사고가 터졌다. 바로 2021년 5월, 소프트웨어의 문제가 국가의 실물 경제를 직접 마비시킬 수 있음을 보여준 콜로니얼 파이프라인(Colonial Pipeline) 랜섬웨어 공격이었다.

미국 남동부에 송유관을 운영하는 Colonial Pipeline이 랜섬웨어에 감염되면서 총 8,900km에 달하는 송유관이 가동을 멈췄다. 이로 인해 미국 남동부 전체 휘발유 공급의 45%가 중단되고, 일부 지역 주유소의 약 70%가 영업을 중단했으며, 휘발유 가격은 급등했다. 단 한 기업을 노린 사이버 공격이 곧바로 미국 경제 전체에 막대한 충격을 준 것이다.

미국은 즉시 대응에 나섰다. 2021년 5월, 바이든 대통령은 국가 사이버보안 체계를 강화하기 위한 행정명령 EO 14028을 발동해 소프트웨어 공급망 보안을 강화할 것을 지시했다.

그러나 그해 12월, 전 세계 보안 관계자들을 긴장시킨 또 하나의 재앙이 닥쳤다. 오픈소스 라이브러리인 Log4j의 치명적 취약점(Log4Shell)이 공개된 것이다. 이로 인해 소프트웨어 공급망을 통한 공격의 실질적 위험을 다시금 각인시켰다. 많은 보안담당자들은 그해 크리스마스를 잊지 못할 것이다. 패치를 완료하자마자 새로운 취약점이 발견되고, 이를 막는 과정에서 또 다른 위협이 터지는, 그야말로 끝없는 대응의 연속이었다. 그렇게 2021년 12월은 수많은 보안 종사자들에게 순식간에 지나가 버린 악몽 같은 시간으로 남았다.

이후 미국은 더 이상 이러한 공급망 위기를 좌시하지 않았다. 2022년 9월, 백악관은 소프트웨어 공급망 전반의 보안 수준을 강화하기 위한 중대한 조치를 발표했다.

백악관은 연방정부에 소프트웨어를 납품하는 모든 공급업체에게 SSDF(Secure Software Development Framework) [NIST SP 800-218]기준에 따라 NIST 보안 소프트웨어 개발 지침을 준수할 것을 의무화했다. 더불어, 이를 충족했다는 사실을 입증하는 자기 증명(Self-Attestation) 문서를 반드시 제출하도록 요구했다.

즉, 공공 부문에 납품되는 소프트웨어는 공급망 보안 기준을 만족했으며, 안전하게 개발되었음을 공식적으로 증명하라는 의미다. 개발자는 자신이 작성한 코드에 대해 직접 보증하고 그 책임을 지겠다는 일종의 ‘공증 방식’을 따르도록 요구 받게 된 것이다.

이 조치는 단순한 보안 지침이 아니다. 안전하지 않은 소프트웨어를 납품하거나 허위로 보증할 경우 법적 책임을 묻겠다는 강력한 메시지를 담고 있다. 미국은 이제 자국 내에서 사용되는 모든 연결된 소프트웨어에 대해 보안성을 체계적으로 관리하고 책임을 묻는 시대를 본격적으로 열기 시작한 것이다.

그렇다면 국내는 어떨까? 최근 국내에서도 대규모 사이버 사건이 연이어 발생하며 소프트웨어 공급망의 취약성이 현실적인 위협으로 다가오고 있다. 국내 최대 규모의 온라인 도서 플랫폼과 유명 보험사가 랜섬웨어에 감염되는 사고가 연달아 발생했고, 거의 매달 보안 사고가 보도되고 있다. 특히 2025년 상반기 최대 이슈로 꼽히는 이동통신사 USIM 정보 유출 사건 역시 공급망 보안 이슈가 주요 원인 중 하나였다.

사건의 배경에는 전 세계에서 가장 널리 사용되는 VPN 장비 중 하나인 Ivanti 제품의 다수 취약점이 있었다. 대표적인 취약점은 다음과 같다:

- CVE-2023-46805 (인증 우회)
- CVE-2024-21887 (명령 주입)
- CVE-2024-21888 (권한 상승)
- CVE-2024-21893 (서버사이드 요청 위조, SSRF)
- CVE-2024-22024, CVE-2024-22023 (XML 외부 엔티티 취약점)
- CVE-2024-21894, CVE-2024-22052 (힙 오버플로우)
- CVE-2024-22053 (힙 오버플로우)
- CVE-2025-0282, CVE-2025-22457 (버퍼 오버플로우)

특히 CVE-2025-0282와 CVE-2025-22457은 1-Day 취약점으로 이동통신사 해킹사고에 빠르게 악용됐고, BPFDoor 계열의 백도어 악성코드와 결합되어 공격이 이루어졌다. 그 결과 약 2,700만 건의 국제 모바일 가입자 식별번호(IMSI)가 유출되는 심각한 피해가 발생했다.

이번 공격은 이동통신사의 자체 개발 시스템이 아닌 외부 상용 소프트웨어(VPN)에서 비롯된 문제였다. 그러나 외부 솔루션의 취약점 관리 소홀이 결국 기업의 신뢰 상실과 가입자 이탈이라는 심각한 비즈니스 피해로 이어졌다.

결국 국내 역시 미국과 마찬가지로 공급망 공격의 주요 타깃이 되고 있으며, 그 위험 수준 또한 결코 낮지 않다는 것을 알 수 있었다.

이제는 한 개의 취약한 소프트웨어가 수백만 명의 사용자 정보 유출과 기업 브랜드 신뢰 하락이라는 거대한 파장을 불러올 수 있는 시대이며, 공급망 보안은 이제 선택이 아닌 생존의 문제로 자리 잡고 있다.

그러나 아쉽게도 국내 소프트웨어 공급망 보안은 아직 태동 단계에 머물러 있다. 2024년 5월, 과학기술정보통신부와 한국인터넷진흥원(KISA) 등 여러 기관이 협력하여 ‘SW 공급망 보안 가이드라인’을 발간한 것이 그 시작이다. 국내에서도 소프트웨어 개발과 유통 과정에서 소프트웨어의 투명성을 강화하겠다는 첫 공식 선언이자, 체계적인 대응의 출발점이라 할 수 있다.

특히, 이번 가이드라인에서는, 일명 ‘소프트웨어의 성분표’로 불리는 SBOM(Software Bill of Materials)에 대해 중점적으로 다루고 있다. SBOM은 소프트웨어를 구성하는 모든 컴포넌트(라이브러리, 모듈 등)를 식별하고 문서화한 자료로, 소프트웨어의 투명성을 확보하기 위한 핵심 수단이다. 이 가이드라인에는 SBOM의 개념 설명뿐 아니라 적용 사례와 실무용 체크리스트도 포함되어 실질적인 공급망 보안 활동을 위한 지침 역할을 한다.

이것은 고대 그리스 철학자 소크라테스의 말로 잘 알려진 “너 자신을 알라”는 문장을 떠올리게 한다. 소프트웨어가 어떤 구성 요소로 이루어져 있는지조차 모른다면, 그 위험성과 보안 수준을 평가하는 것은 불가능하다. 따라서 소프트웨어의 보안 수준을 객관적으로 측정하고 관리하기 위해서는 가장 먼저 SBOM을 통한 구조 파악이 선행되어야 하는 것이다.
국내의 공급망 보안은 이제 막 첫걸음을 뗐다. 그러나 그 첫걸음이 향하는 방향은 분명하며, 더 이상 늦출 수 없는 시점에 와 있다는 데에는 이견이 없다.


많은 사람이 특정 성분에 알레르기(allergy) 반응을 보이듯, 기업도 보안 취약점이라는 ‘디지털 알레르기’에 취약할 수 있다. 이를 피하기 위한 첫걸음은 명확하다. 자신이 어떤 알레르기를 가지고 있는지, 그리고 그것을 유발하는 성분이 음식에 포함되어 있는지를 아는 것이다. 이와 마찬가지로 기업 역시 내부 시스템에 어떤 소프트웨어가 사용되고 있으며, 그 안에 어떤 위험 요소가 포함되어 있는지를 정확히 파악하는 것이 무엇보다 중요하다.

그러나 현실은 녹록지 않다. 현재까지도 많은 국내 기업들이 실제 침해 사고가 발생하기 전까지 자사에 어떤 취약한 소프트웨어가 존재하는지를 알지 못하는 경우가 많다. 이것은 단순한 무관심이 아니라 구조적 한계에서 비롯된 문제다.

현장의 보안담당자 수는 개발자에 비해 극히 적고, 그 격차는 점점 커지고 있다. 예컨대, 20명의 개발자가 자유롭게 오픈소스 소프트웨어를 도입해 개발하고, 수많은 외부 솔루션이 도입/운영되는 환경에서 단 1명의 보안담당자가 이 모든 소프트웨어의 취약점을 감시하고 대응한다는 것은 슈퍼맨조차 불가능한 일이라고 할 수 있다.

결국 보안은 인력의 의지만으로 감당할 수 있는 영역이 아니며, 체계적인 시스템과 프로세스, 그리고 자동화된 도구의 뒷받침 없이는 한계가 명확할 수밖에 없다.

그렇다면 우리는 손을 놓고 포기해야 할까? 결코 그렇지 않다. 다행히도 이 문제를 해결하기 위한 ‘구세주’와도 같은 소프트웨어가 존재한다. 바로 SCA(Software Composition Analysis) 솔루션이다. SCA는 소프트웨어 내부에 포함된 구성요소를 자동으로 분석해 SBOM(Software Bill of Materials)을 생성해주는 도구다. 이 기술을 활용하면 개발자뿐만 아니라 보안담당자도 소프트웨어의 구조와 잠재적인 취약점을 보다 명확하게 파악할 수 있다.

특히 OWASP Dependency-Check, FossLight, GitHub Dependabot, Scable과 같은 오픈소스 기반 SCA 도구는 보안담당자도 무료로 사용할 수 있으며, 누구나 접근할 수 있다는 장점이 있다. 다만 오픈소스의 특성상 업데이트의 신속성, 패턴 유지관리, 기술 지원 등에서는 한계가 존재할 수 있다.

보다 안정적이고 효율적인 운영을 원한다면, 국내 솔루션인 Sparrow SCA, 혹은 글로벌 제품인 BlackDuck, Snyk Open Source 등과 같은 상용 SCA 도구도 존재한다. 이들은 지속적인 패턴 업데이트, 기술 지원, 리포트 자동화 등의 기능을 갖추고 있어 기업의 공급망 보안 운영 환경에 따라 충분한 선택지가 될 수 있다.

SBOM 관리를 시작하려는 기업이라면 무료든 유료든 여건에 맞는 SCA 도구를 도입함으로써 소프트웨어 공급망 보안의 첫걸음을 뗄 수 있는 환경은 이미 마련되어 있는 셈이다.

이제 국내도 공급망 보안에 대한 의지를 갖고 움직이기 시작했다. 그러나 국가 차원에서도 단순히 ‘공급망 보안이 중요하다’는 메시지를 반복하는 것을 넘어 실제 공격 시나리오를 바탕으로 한 ‘공급망 보안 위협 Top 10’과 같은 구체적인 방향성과 목표를 제시하고, 신뢰할 수 있는 SBOM 유통망을 마련하는 노력이 절실하다.

기업 또한 마찬가지다. 이제는 자신이 사용하는 소프트웨어의 구성 요소를 정확히 파악하고, 그 안에 잠재한 위험성을 스스로 식별하고 대응할 수 있어야 할 시점이다. ‘우리 시스템은 무엇으로 이루어져 있는가?’에 답할 수 없는 기업은 더 이상 사이버 위협에 안전할 수 없기 때문이다.

“지피지기 백전불태(知彼知己 百戰不殆)”라는 고사성어가 있다. 흔히 ‘지피지기면 백전백승’으로 알려진 이 말의 원문은, ‘적을 알고 나를 알면 백 번 싸워도 위태롭지 않다’는 의미를 담고 있다.

이제는 기업 스스로가 나서야 할 때다. 공급망 사이버 위협이라는 보이지 않는 적을 이겨내기 위해서는, 적을 아는 것만큼이나 나 자신을 아는 것이 중요하다.

우리가 어떤 소프트웨어를 쓰고 있으며, 그 안에 어떤 구성 요소와 취약점이 존재하는지를 모른다면, 아무리 보안 솔루션을 도입하고 정책을 강화하더라도 효과는 제한적일 수밖에 없다.

이제 기업은 스스로에게 되물어야 한다.

“나는 지금, 나 자신을 제대로 알고 있는가?”

그 물음에 제대로 답할 수 있을 때, 비로소 진정한 공급망 보안의 시작점에 서게 되는 것이다.
[글_ 문광석 기술사/코리안리 IT보안파트장]

필자 소개_
- 과학기술정보통신부 사이버보안전문단
- 한국정보공학기술사회 미래융합기술원장
- 차세대 보안리더 양성프로그램(Best of Best) 보안컨설팅 멘토
- 국가직무능력표준(NCS) 학습모듈 정보보호, 개인정보분야 개발진
- 금융보안원 & 한국인터넷진흥원(KISA) 정보보안 강사, 교육과정 자문위원, 제안평가위원
- 키워드로 정리하는 정보보안 119, 삐뽀삐뽀 보안 119 저자
- 정보관리기술사, 정보시스템 수석감리원, ISMS-P 인증심사원, ISO27001 인증심사원, 개인정보영향평가원, K-Shield(최정예 사이버보안 전문가), AWS Security Specialty, CISSP, CEH, CPPG 등

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

권준기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  [단독] 대한민국 정부가 털렸다... 행안부...

• 2

  또 덮친 국가배후 해킹…“사이버안보비서관·국...

• 3

  [AI와 보안] GPT-5, 출시 일주일도 ...

• 4

  [데프콘 33] 세계 해커들의 축제 개막… ...

• 5

  예스24, 두달 만에 또 랜섬웨어 공격......

• 1

  IP가 AI를 만나면 벌어지는 일...‘IP...

• 2

  국내 기업 CISO 396명이 꼽은 산업별 ...

• 3

  [단독] 대한민국 정부가 털렸다... 행안부...

• 4

  남성 전용 데이트 정보 앱 ‘티온허’, 사용...

• 5

  글로벌 주얼리 브랜드 ‘판도라’, 해킹으로 ...

• 1

  [AI와 보안] 국내 CISO들 최고 관심사...

• 2

  [블랙햇 2025] 운영체제 없이 작동하는 ...

• 3

  [SGI서울보증 랜섬웨어] 13.2T 규모 ...

• 4

  [2025 EDR/XDR 솔루션 리포트] A...

• 5

  [긴급] 리눅스 서버 ‘비상’...탐지 불가...