"소프트웨어 공급망 보안, SBOM 필수" 우리 조직에 맞는 표준 규격은?

[디지털데일리 김보민기자] 2021년 5월, 미국 최대 송유관 운영사 콜로니얼 파이프라인이 전산망 해킹을 당했다. 당시 미국 일부 지역에서는 석유 공급이 중단됐고, 수많은 사람들이 차량에 기름을 넣기 위해 신경전을 벌이는 초유의 사태가 발생했다.

이처럼 공급망을 노린 사이버 공격은 나날이 늘고 있다. 특히 오픈소스 소프트웨어(SW)를 활용하는 기업이 늘어나면서 세부 시스템을 침투하려는 공격 양상도 짙어지고 있다. SW 구성요소를 하나씩 다 뜯어볼 수 있는 일명 '소프트웨어 자재명세서(SBOM)'가 전 세계 화두로 떠오른 이유다.

SBOM은 제조업에서 사용하는 부품표(BOM) 개념을 착안한 용어로, SW 구성요소를 식별할 수 있도록 돕는 일종의 명세서다. 소프트웨어 구성요소 간 관계, 오픈소스 및 외부 서비스 융합 방식 등을 모두 포괄해 보여주기 때문에 보안 취약점이 발생했을 때 빠른 대응이 가능하다. 장애가 발생할 때도 원인을 찾고 맞춤형 복구 방안을 찾는 것이 용이하다.

KMS테크놀로지는 28일 디지털데일리 <DD튜브> 플랫폼에서 열린 'SW산업에서의 필수조건 SBOM: 다이내믹(Dynamic) SBOM으로 준비하라' 웨비나를 통해 이러한 공급망 보안이 향후 더욱 중요해질 것으로 내다봤다. 주요 국가에서 각기 다른 SBOM 구성 요소를 요구하고 있는 만큼, 각 조직에 맞는 표준 규격을 도입할 필요가 있다는 점도 강조했다.

◆ SPDX vs 사이클론DX…"라이선스·보안 메타태그 관건"

웨비나 포문을 연 한근희 고려대학교 교수는 "우리가 사용하는 SW 대부분은 오픈소스"라며 "그러나 내부에서 어떤 프로그램 모듈을 사용하는지, 어떤 부분에 라이브러리를 활용하고 있는지 전혀 알지 못하는 경우가 많다"라고 지적했다.

이에 주요국에서는 SBOM을 권고 및 의무화하는 작업에 속도를 올리고 있다. 대표적으로 미국은 연방정부 차원에서 오픈소스 활용을 증대하기 위해 공식 행정명령을 발의했고 SBOM 제출을 법령화하기도 했다. 유럽과 일본은 관련 법규와 규약을 만들고 있고, 한국 또한 한국정보통신기술협회(TTA)가 SBOM 속성 분야를 발표하기도 했다. 과학기술정보통신부와 국가정보원은 공급망 보안에 대한 제도적 보완을 추진하기 위해 관련 가이드라인을 마련 중이다.

윤성민 KMS테크놀로지 PM은 "대표적인 SBOM 국제 표준으로는 SPDX, 사이클론(Cyclone)DX, 그리고 SWID가 있다"며 "우리 조직이 어떤 규격을 활용해야 하는지 고민이 있을 텐데, 사용 목적과 요구사항에 따라 선택이 달라질 수 있다"고 소개했다.

SPDX는 기본적으로 소프트웨어 패키지와 구성요소 정보를 공유할 때 활용된다. 라이선스 및 저작권 정보가 중점이다. 조직은 라이선스 준수 여부와 구성요소를 분석할 때 이를 활용할 수 있다. 반면 사이클론DX는 애플리케이션 보안과 공급망 구성요소를 분석할 때 쓰인다. 메타 태그를 비롯해 보안 관련 구성요소 정보가 중점인 셈이다. 마지막으로 SWID는 소프트웨어 제품을 식별하고 자산을 관리할 때 사용된다.

이날 KMS테크놀로지는 시놉시스(SYNOPSYS) 오픈소스 분석 도구 '블랙덕(Black Duck)'에서 SBOM을 어떻게 출력 및 관리할 수 있는지 시연했다. 김병극 기술이사는 "블랙덕에서는 SPDX 그리고 사이클론DX 형식으로 리포트 출력이 가능하다"라며 "SPDX는 JSON·YAML·RFD·태그밸류(tag:value) 등 네 가지 포맷을 제공하고 있고, 사이클론DX는 JSON 포맷 한가지를 지원한다"고 설명했다. 제이슨 포맷을 활용해 사이클론DX 리포트를 출력하자 메타태그와 컴포넌트(Component) 탭들이 나열됐다. 상단에는 문서 혹은 발행자 내용이 포함됐고, 두 번째 컴파운드 탭에는 실제 오픈소스 컴포넌트에 대한 명단이 배열로 나열됐다. 마지막 탭에는 취약점에 대한 내용이 포함됐다.

내부뿐만 아니라 외부에서 생성된 SBOM 리포트도 불러올 수 있다. 이는 '임포트(import)'라고 불린다. 김병극 기술이사는 "다른 툴 혹은 외부에서 생성된 SBOM 리포트를 임포트하는 기능도 있다"라며 "서드 파티, 협력업체에서 SW를 공급받을 때 SBOM 리포트를 함께 전달받는다면 블랙덕에서 해당 기능을 사용해 동일하게 프로젝트 관리를 할 수 있다"고 부연했다. 이어 "오픈소스 라이선스뿐만 아니라 보안 취약점에 대해서도 실시간 추적 관리가 용이해지면서, 갑자기 발생하는 오픈소스 보안 취약점 대응도 가능해질 수 있다"고 강조했다.

◆ SPDX·사이클론DX 추가 패치, 예상 변화는?

SPDX는 2011년 1.0 버전이 공개됐고 현재 2.3이 최신 버전이다. 3.0 버전은 현재 개발 중에 있다.

윤성민 PM은 "SPDX 3.0 버전은 프로필이라는 새로운 개념이 도입된다는 점에 흥미롭다"고 말했다. 그는 "현 버전은 JSON 파일 구조 내 보안 취약점, 라이선스 및 패키지 등 많은 정보를 다루다 보니 조직 부서와 관계없는 요소를 섞어 보는 경우가 많다"며 "오픈소스 컴포넌트 항목이 많을 경우 JSON 파일 라인 수가 천 줄이 넘어갈 때도 있다"고 설명했다. 그러면서 "3.0 버전은 이해관계 부서별로 본인에게 필요한 프로필을 구성할 수 있다"며 "향후 기술 및 이슈 변화에 따라 지원하는 프로필 셋 수도 늘어날 전망"이라고 강조했다.

사이클론DX는 SPDX보다 역사가 오래되지 않았지만, 지원되는 스펙이 광범위하다는 특징이 있다. 현재 1.5 버전이 최신이며 서비스형소프트웨어(SaaS) BOM 등 목적별 지원 스펙이 다양하다. 머신러닝, 쿠버네티스 지원도 빼놓을 수 없다. 아울러 SW 개발, 생명주기 및 자산 관리와 관련해 새로운 필드를 제공한다.

한편 KMS테크놀로지는 올해 상반기 공개되는 ICT 공급망 보안 가이드라인에 SBOM 개념 및 표준 규격이 포함될 경우 시장 변화가 본격화될 것으로 전망했다.

윤 PM은 "발주사에서 오픈소스 정책과 절차를 가지고 있다면 입찰제안요청서(RFP)상에 관련 준수 사항을 요구할 수 있고, 금지 조항 또한 포함될 가능성이 있다"며 "보안 취약점 검증서 제출을 요구하거나 발주사가 요구한 SBOM 포맷을 준수해 검증서를 제출하라고 요할 수도 있다"라고 말했다.

끝으로 윤 PM은 "SBOM을 왜 추적하고 관리해야 하는가를 묻는다면 보안 취약점 및 라이선스 위험 관리가 주된 목적"이라며 "SBOM에 대한 요구 사항이 나라마다 다르고, 특정 산업 분야마다 다르기 때문에 결국 '다이내믹 SBOM'으로 변화에 대응해야 한다"라고 강조했다.

시놉시스 '2024 OSSRA(오픈소스 보안 및 위험분석)' 보고서에 따르면 전 세계 대부분 SW 개발회사(96%)는 오픈소스 소프트웨어를 많이 활용하고 있지만 어떤 모듈 및 라이브러리를 어떤 부분에 사용하는지 알지 못하거나 알 수 없을 만큼 관리를 못하고 있다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -