컨텐츠로 건너뛰기
검색
디지털데일리 언론사 이미지

[NSIS 2025] 소프트플로우 “SW공급망 보안 핵심 SBOM”

디지털데일리 황대영 기자
원문보기

[NSIS 2025] 소프트플로우 “SW공급망 보안 핵심 SBOM”

서울맑음 / -3.9 °
“AI가 만든 코드, AI가 지켜야”

[디지털데일리 황대영 기자] “이제는 인공지능이 개발을 도와주는 시대입니다. 하지만 그만큼 보안 위협도 지능화됐습니다. 공급망 보안, 지금 바로 준비해야 합니다.” 소프트웨어(SW) 공급망 보안은 더 이상 선택이 아니라, 필수인 시대가 도래했다. 소프트플로우 소범석 대표는 이러한 보안 생태계 전환기에 필요한 실질적인 해법을 내놨다.

소범석 대표는 20일 <디지털데일리>주최로 열린 '제2회 차세대 보안혁신 서밋(Next Security Innovation Summit)'에서 “AI 기반의 소프트웨어 개발이 빠르게 확산되면서, 오히려 개발자의 의도와 무관한 보안 취약점이 공급망을 통해 내부로 유입되는 사례가 늘고 있다”며 “이제는 AI 보안 관점에서의 대응 전략이 필수”라고 강조했다.

소 대표는 지난 4월 미국 샌프란시스코에서 열린 사이버 보안 전시회 RSA 콘퍼런스 2025를 직접 다녀온 경험을 공유했다. 그는 “올해는 예년보다 소프트웨어 공급망 보안 관련 부스가 압도적으로 많았다”며 “제로트러스트와 더불어 글로벌 시장의 화두가 된 상황”이라고 전했다.

소 대표는 오픈소스 사용이 보편화된 현 개발 환경의 구조적 문제를 짚었다. 블랙덕 소프트웨어의 보고서에 따르면, 분석된 1658개 프로젝트의 97%에서 오픈소스가 사용됐으며, 하나의 애플리케이션 안에 평균 900개의 오픈소스가 포함되어 있다. 이 중 91%는 최신 버전이 아닌 과거 버전이며, 상당수는 심각한 보안 취약점을 내포하고 있다.

특히 소 대표는 소프트웨어 내부에 의도치 않게 들어오는 트랜스티브(전이적) 의존성에 대한 경계가 필요하다고 강조했다. 개발자가 직접 가져온 라이브러리가 다른 취약한 오픈소스를 호출해 사용하는 구조가 많다는 것이다.

그는 “56%의 프로젝트에서 라이선스 충돌이 발생했다”며 "GNU 일반공개라이선스(GPL)와 아파치(Apache) 라이선스 간 충돌 사례 등 법적 리스크도 공급망 위협으로 작용할 수 있다"고 경고했다.


소 대표는 최근 사이버공격자들이 대규모언어모델(LLM)을 활용해 취약점을 자동으로 분석하고, 악성코드를 생성하는 시연이 RSA 콘퍼런스에서 공개됐다고 전했다. 이제는 단순한 코드 분석을 넘어, AI가 직접 익스플로잇 코드를 작성하는 시대라는 설명이다.

이에 따라 방어 측 역시 AI 기술을 적극 도입해야 할 것으로 보았다. 그는 “이미 일부 분석 도구는 AI가 보안 취약점을 개선한 코드까지 제안해주는 단계에 왔다”며 “개발자가 수정 여부만 판단하면 될 정도로 기술이 고도화되고 있다”고 소개했다.

보안을 위한 가장 기본적인 시작점으로는 ‘소프트웨어 구성 명세서(SBOM)’를 꼽았다. 그는 “SBOM은 소프트웨어에 포함된 구성요소, 공급자, 버전, 라이선스 등을 명세한 디지털 문서로, 취약점 대응과 라이선스 준수, 보안 사고 분석에 반드시 필요하다”고 말했다.


이어 “SBOM 생성과 관리는 자동화돼야 하며, 이를 수동으로 작성하는 것은 현실성이 없다”고 강조했다. 또한 SBOM 자체가 유출될 경우 해커에게 공격 표적 정보를 제공하는 ‘이중 리스크’가 있다는 점도 지적했다. “생성도 중요하지만, 보관·유통 관리도 함께 고민해야 할 시점”이라는 설명이다.

소 대표는 ‘시큐어 소프트웨어 개발공정(SDLC)’을 위한 개발·보안·운영(DevSecOps) 환경 구축도 필수로 판단했다. 기존의 전통적인 개발 방식은 보안을 마지막 단계에서 수행했지만, 현대의 개발은 지속적 통합·배포(CI/CD) 파이프라인 초기에 보안을 내재화해야 한다는 것이다.

그는 “정적 분석, 동적 분석, 소프트웨어 구성 분석, 취약점 스캐닝 등을 자동화 도구로 통합하고, 빌드 실패 조건까지 설정해야 한다”며 “이러한 정책은 조직별 맞춤형으로 설계돼야 한다”고 강조했다.


또한 “위험 모델링과 정적 분석, SBOM 생성을 하나의 파이프라인 내에 통합하는 것이 소프트웨어 공급망 보안을 실현하는 현실적 방법”이라고 덧붙였다.

AI 코드 생성이 보편화되면서, 이제는 AI가 만든 코드 역시 보안 검증 대상이라는 점도 강조됐다. 소 대표는 “생성된 AI 코드에 라이선스 위반이 없는지, 악성 코드가 포함돼 있지는 않은지, 출처는 어디인지 등을 명확히 해야 한다”며 이를 위한 ‘AI SBOM’ 개념이 주목받고 있다고 소개했다.

실제 일부 보안 솔루션은 AI가 만든 코드를 자동 식별하고, 여기에 태깅을 적용해 추적·분석하는 기능을 제공하고 있으며, 대화형 AI 기반 보안 가이드 챗봇도 도입되고 있다.

마지막으로 그는 “현재 대부분의 보안 분석은 여러 도구에서 중복 탐지되는 취약점으로 인해 ‘노이즈’가 크다”며 “AI 기반 통합 보안 분석 플랫폼이 필요하다”고 강조했다. 다수의 보안 테스트 도구를 통합해 중복 제거, 오탐 분류, 위험도 순위화 기능을 수행하는 ‘보안 테스트 허브’의 중요성을 제시했다.

한편 <디지털데일리>는 20일 서울 소공동 롯데호텔 사파이어볼룸에서 제2회 차세대 보안혁신 서밋 ‘NSIS’을 개최했다. 올해 주제는 ‘넥스트 레벨 보안: 신기술 혁명이 만드는 차세대 보안 전략’으로, 공공·금융·산업계가 모여 최신 보안 위협 동향과 대응 전략을 논했다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -

info icon이 기사의 카테고리는 언론사의 분류를 따릅니다.