SW도 기기처럼 구성 요소 공개하는 시대 왔다

소프트웨어(SW)를 사용하는 업계와 그렇지 않은 업계를 구분하는 게 무의미할 정도로, 전 산업 분야에 걸쳐 SW 활용이 보편화됐다. 그만큼 SW 보급이 진전됐다는 긍정적 평가를 내릴 수 있지만, 동시에 우려도 제기된다. 사이버보안 측면에선 그만큼 해커의 공격 표면이 넓어졌기 때문이다.

해킹 피해를 막기 위한 방안으로 SW를 구성하는 소스코드를 체계적으로 관리해야 한다는 목소리가 나온다. 특히 오픈소스 활용이 계속 증가하는데, 소스코드 중 어느 부분에 어떤 코드를 반영했는지 제대로 파악하지 못하는 기업이 절대 다수라는 것이다. 때문에 사용한 오픈소스에서 취약점이 발견돼도 즉각적으로 대처하지 못하고 있다는 주장이다.

향후 모든 산업 분야에서 SW의 존재감이 더욱 커질 것으로 전망되는 만큼, 이런 보안 문제를 해소하기 위한 대응책이 시급한 상황이다. 이런 상황에서 SBoM(Software Bill of Materials)이 등장했다. SBoM은 오픈소스, 라이브러리 등 SW의 모든 구성 요소를 담은 정보다. 소스코드 관련 보안 문제가 보고되면 영향권에 있는 기업·기관들이 신속히 대응할 수 있게 해준다. 보안 관리뿐만 아니라 오픈소스 라이선스 준수 여부도 체계적으로 살필 수 있다는 장점이 있다.

김진석 아이오티큐브 대표는 인터뷰를 통해 국내 사이버보안 역량을 강화하기 위해서는 SBoM을 제도화해야 한다고 주장했다. 아직 국내에서는 소스코드 구성 요소에 관심을 갖고 체계적으로 관리하는 조직이 매우 드물다. 그러나 발생한 사이버공격에 대응하는 사후 보안 체계에서 사전에 공격 가능성을 차단하는 보안 체계로의 전환, 오픈소스 활용에 따른 위험 관리, SW 업계의 원활한 해외 시장 공략 등 이점이 크다는 설명이다.

이에 따라 아이오티큐브는 지난 18일 자사 오픈소스 취약점 점검 솔루션 '래브라도 OSS' 2.0 버전을 출시했다. 기존 공통보안취약점공개항목(CVE)으로 알려진 취약점들을 토대로 보안 위협 요소를 탐지하던 것에 비해, 2.0에서는 SBoM을 제공하게 된 것이 특징이다. 파일 단위는 물론 함수 단위의 코드 스니펫까지 분석하고, 서브 컴포넌트 내의 숨겨진 보안 취약점을 찾아내고, 수정된 오픈소스도 탐지한다.

SBoM이 필요한 이유에 대해 김진석 대표는 오픈소스의 종속성이 야기하는 보안 위협을 언급했다.

"공통보안취약점공개항목(CVE)이 알려진 것만 해도 15만개가 된다. 이 취약점들은 오픈소스에 스며들어 있다. A라는 SW가 있을 때, 이 SW가 B라는 오픈소스를 가져다 썼는데, B는 또 다른 오픈소스인 C가 반영돼 있다고 치자. 만약 C에 CVE가 존재할 경우 A를 수시로 업데이트하더라도 취약점이 남아 있게 된다."

오픈소스 라이선스 이슈를 섬세하기 관리하기 위한 측면에서도 SBoM이 도움이 된다.

"기업들이 오픈소스 내역을 공개하고 있지만, 고지 의무가 있는 라이선스만 선별해 보여주는 것이 일반적이다. 고지 의무와 상관없이 사용한 오픈소스 내역을 온전히 파악하고 있는 경우와, 고지 의무가 있는 라이선스만 파악하고 있는 것은 얘기가 완전히 다르다. 오픈소스를 그대로 쓰는 게 아니라 부분적으로만 가져오거나, 수정해서 쓰는 경우가 많은데 이런 활용 내역을 관리하고 나중에 찾아내는 게 쉽지 않다. 그러나 어렵더라도 관리가 필요한 부분이다."

사용한 오픈소스가 나중에 사용권 분쟁에 휘말리게 될 경우 큰 손실을 입거나, 사업 운영에 대한 위협으로 번질 가능성을 염두해 대체 가능한 소스코드를 항시 확보할 수 있게 해야 한다는 것이다.

기업·기관이 사용하는 SW을 노리는 '공급망 공격'으로 최근 대형 해킹 사고를 겪은 미국은 사이버보안 강화를 목적으로 SBoM 도입 확산을 위해 발 빠르게 나서고 있다. 지난 5월 행정명령을 발표, 정부에 납품하는 모든 기기의 SBoM 제공을 의무화하기 위해 현재 에너지, 의료 등의 분야에 제도를 시범 적용 중이다.