소프트웨어를 보호한다는 것이 2021년을 지나며 공급망까지도 다 보호한다는 것으로 변모했습니다. 공급망은 우리 생각보다 약하며, 그렇기에 공격자들의 먹이가 되고 있기 때문입니다. 올 한 해 우리는 새로운 소프트웨어 개발 및 보호의 개념이 도입되는 걸 볼지도 모릅니다.

사이버 공간을 위협하는 것들이 매일 새롭게 등장하는 것만 같습니다. 그리고 그 여파도 점점 더 커지고 있습니다. 제로데이 취약점들이 등장하는 빈도도 높아지고 있고, 물리적 충격까지 주는 하이브리드 공격이 상상 속에만 존재하는 것이 아니게 되었으며, 로그4셸(Log4Shell)과 같은 취약점이 발견될 때마다 우리가 누리고 있는 지금의 인프라가 얼마나 깨지기 쉬운 것인지 소름끼칠 정도로 적나라하게 깨닫게 됩니다.

그래서 소프트웨어 보안에 대해 다시 한 번 생각해 보자는 움직임이 서서히 일어나기 시작했습니다. 개발하고, 출시하고, 패치하고, 무사하기를 기도하는 기존의 애플리케이션 사이클보다 보다 능동적이고 적극적이며 근본적인 보호 방법을 찾아나선 것입니다. 그리고 이 움직임이 2022년 동안 주요 애플리케이션 보안 트렌드로서 자리를 잡을 것으로 예상됩니다. 이러한 시대의 베스트 프랙티스는 다음과 같습니다.

[이미지 = freepik]

1. 소프트웨어 공급망 내에서 공격 통로가 계속해서 늘어나는 중

공급망 공격에 대한 언론의 보도들은 대부분 오픈소스 패키지 및 생태계에 초점을 맞추고 있습니다. 서드파티 패키지와, 여러 조직들에서 사용되는(MS 익스체인지나 솔라윈즈 네트워크 관리 도구 등) 시스템들에 대한 이야기도 곧잘 나오는 편입니다. 그 외에도 새로운 약점들이 속속 발견되고 있으니, 사실상 공급망 전체가 매우 취약하다고 결론을 내려도 무리가 없습니다. 이 모든 요소들이 공격자들의 침투 경로로서 작용합니다.

먼저 패키지 관리자들은 누가 봐도 분명한 접근 경로입니다. 하지만 그 전에 패키지를 만들어내는 개발자들의 개발 환경과, 코드 리포지터리, 배포와 적용을 위한 장치들도 공격자들의 접근을 허용하는 부분들입니다. 여기서 발견되는 다양한 취약점들을 세어보면 수백 개도 넘는다는 걸 알 수 있습니다. 무슨 소리일까? ‘공급망이 취약하다’는 문구만 같을 뿐, 그 세부적인 내용은 계속해서 바뀔 것이라는 뜻입니다. 공격자들은 계속해서 새로운 공격 루트를 공급망 내에서 개발할 것이다. 보안 강화를 시도하는 모든 조직들은 공급망을 반드시 고려해야 합니다.

베스트 프랙티스 : 보안 강화를 꿈꾸는 조직이라면 ‘공급망’이 어떻게, 어떤 요소들로 구성되어 있는지를 완전히 파악하고 이해해야 합니다. 어디가 어떻게 취약하며, 공격자들이 어떤 방식으로 파고들 수 있는지까지도 알아내야 합니다. 그런 다음 이런 지점들을 보호하기 위한 대책을 마련해야 합니다. 예전 같이 사고가 터지기를 기다렸다가 패치하는 건 지나치게 위험합니다.

2. 소프트웨어 물자표가 대세가 될 해

소프트웨어 물자표라는 개념은 이미 수년 전부터 존재해 왔습니다. 소프트웨어를 구성하는 모든 요소들을 투명하게 밝히며 공급한다는 취지에서 제안된 것이 바로 이 소프트웨어 물자표입니다. 마치 음식들에 산지와 영양성분이 표기되는 것과 같습니다. 전자제품들에도 이러한 표시들이 붙어서 유통되니 소프트웨어를 이런 식으로 관리한다는 게 아주 엉뚱한 건 아닙니다.

리눅스재단(Linux Foundation)과 오픈웹애플리케이션보안프로젝트(OWASP)은 이미 이 ‘소프트웨어 물자표’를 구현하는 데 필요한 기술을 보유하고 있습니다. 리눅스재단이 개발한 것은 소프트웨어 패키지 데이터 익스체인지(Software Package Data Exchange, SPDX)라고 하며, OWASP의 그것은 사이클론(Cyclone)이라고 합니다. 하지만 소프트웨어 물자표를 도입하려면 기술만 있어서는 안 됩니다. 표준 또한 마련되어야 합니다. 현재 미국 연방 정부는 소프트웨어 물자표 도입의 시동을 걸었으며, 조만간 산업 내 적용되는 것을 볼 수 있을 것으로 보입니다.

베스트 프랙티스 : 이미 소프트웨어 물자표를 도입해 활용하고 있는 기업들이 존재합니다. 물론 대부분 ‘파일럿 프로젝트’로서 말합니다. 하지만 지금부터 진행되는 이러한 시도들이 조만간 소프트웨어 물자표 제도가 정식 도입되면 큰 힘을 발휘할 것입니다. 그러니 미리 이 부분에 대해 알아보고, 시범적 혹은 부분적으로라도 도입해보는 것이 필요합니다.

[이미지 = freepik]

3. 제로 트러스트, 이제는 소프트웨어 엔지니어링에 녹아들 것

보안 종사자라고 한다면 ‘제로 트러스트’라는 것에 낯설지 않을 것입니다. 하지만 우리가 말하는 제로 트러스트는 대부분 아키텍처와 인증, 데이터 접근이라는 맥락에서 논의되는 개념입니다. 소프트웨어 개발과 공급망 보안이라는 차원에서 제로 트러스트가 이야기되는 경우는 그리 많지 않습니다. 그도 그럴 것이 아직 소프트웨어 보안이라는 것이 현실 속에서 ‘기능 개발 다 마치고 나중에 마무리 할 때 덧붙이는 것’으로 이해되고 있기 때문입니다.

소프트웨어 공급망 공격은 거의 항상 공급망 내에 존재하는 신뢰를 깨부수는 것과 관련이 있습니다. 리포지터리에서 다운로드 받은 패키지, 패키지에 표기된 버전, 동료 개발자가 사용하는 ID 등 우리는 생각보다 많은 것을 신뢰하며, 있는 그대로 받아들입니다. 이제 개발에 관여된 이런 모든 요소들을 하나하나 의심하고 점검할 수 있어야 합니다. 보안 팀들이 이런 지점들을 발굴해야 할 것입니다.

베스트 프랙티스 : 소프트웨어 개발 공급망의 모든 요소들에 이중 인증을 적용하는 것이 지금으로서는 최선책입니다. 그래서 그 누구도 단순 비밀번호 입력만으로 개발과 유통 과정에 참여할 수 없도록 해야 합니다. 이중 인증으로 모자라다면 더 많은 요소들을 추가하는 것도 좋은 방법입니다.

결론

사이버 보안이라는 분야는 항상 공격의 트렌드를 파악하고, 그에 맞게 대응책을 마련하는 것으로 자기 역할을 담당해왔습니다. 그러면서 과거에 있었던 것들과, 앞으로 나올 것들에 대한 대응도 보안 업계의 과제로 주어지고 있습니다. 지금의 흐름 상 2022년 보안 팀들은 소프트웨어 공급망에 좀 더 집중하게 될 것이 유력해 보이며, 특히 소프트웨어 물자표 제도의 출현과 제로 트러스트의 도입이라는 큰 획을 목격할 전망입니다. 하지만 이 과정을 지나가면 보다 튼튼하고 안전한 제품을 개발할 수 있게 될 것입니다.

글 : 체탄 코니키(Chetan Conikee), CTO, ShiftLeft, 보안뉴스정보유출, DLP, GRADIUSDLP, 그라디우스, 데이터유출, 정보유출방지, 내부정보유출방지, 취약점, 시큐어코딩, 취약점진단, 취약점점검, 스패로우, sparrow, vada, 시스템취약점진단

제품에 대해 궁금한 점이 있으신가요?
빠르고 정확한 답변을 도와드리겠습니다.

TEL : 031-784-8500~1
E-mail : sales@pplus.co.kr