SW도 기기처럼 구성 요소 공개하는 시대 왔다

김진석 아이오티큐브 대표 "미국은 'SBoM' 의무화 시작…한국도 준비해야"

컴퓨팅입력 :2021/08/20 14:41    수정: 2021/08/20 16:43

소프트웨어(SW)를 사용하는 업계와 그렇지 않은 업계를 구분하는 게 무의미할 정도로, 전 산업 분야에 걸쳐 SW 활용이 보편화됐다. 그만큼 SW 보급이 진전됐다는 긍정적 평가를 내릴 수 있지만, 동시에 우려도 제기된다. 사이버보안 측면에선 그만큼 해커의 공격 표면이 넓어졌기 때문이다.

해킹 피해를 막기 위한 방안으로 SW를 구성하는 소스코드를 체계적으로 관리해야 한다는 목소리가 나온다. 특히 오픈소스 활용이 계속 증가하는데, 소스코드 중 어느 부분에 어떤 코드를 반영했는지 제대로 파악하지 못하는 기업이 절대 다수라는 것이다. 때문에 사용한 오픈소스에서 취약점이 발견돼도 즉각적으로 대처하지 못하고 있다는 주장이다.

향후 모든 산업 분야에서 SW의 존재감이 더욱 커질 것으로 전망되는 만큼, 이런 보안 문제를 해소하기 위한 대응책이 시급한 상황이다. 이런 상황에서 SBoM(Software Bill of Materials)이 등장했다. SBoM은 오픈소스, 라이브러리 등 SW의 모든 구성 요소를 담은 정보다. 소스코드 관련 보안 문제가 보고되면 영향권에 있는 기업·기관들이 신속히 대응할 수 있게 해준다. 보안 관리뿐만 아니라 오픈소스 라이선스 준수 여부도 체계적으로 살필 수 있다는 장점이 있다.

김진석 아이오티큐브 대표는 인터뷰를 통해 국내 사이버보안 역량을 강화하기 위해서는 SBoM을 제도화해야 한다고 주장했다. 아직 국내에서는 소스코드 구성 요소에 관심을 갖고 체계적으로 관리하는 조직이 매우 드물다. 그러나 발생한 사이버공격에 대응하는 사후 보안 체계에서 사전에 공격 가능성을 차단하는 보안 체계로의 전환, 오픈소스 활용에 따른 위험 관리, SW 업계의 원활한 해외 시장 공략 등 이점이 크다는 설명이다.

김진석 아이오티큐브 대표

이에 따라 아이오티큐브는 지난 18일 자사 오픈소스 취약점 점검 솔루션 '래브라도 OSS' 2.0 버전을 출시했다. 기존 공통보안취약점공개항목(CVE)으로 알려진 취약점들을 토대로 보안 위협 요소를 탐지하던 것에 비해, 2.0에서는 SBoM을 제공하게 된 것이 특징이다. 파일 단위는 물론 함수 단위의 코드 스니펫까지 분석하고, 서브 컴포넌트 내의 숨겨진 보안 취약점을 찾아내고, 수정된 오픈소스도 탐지한다.

SBoM이 필요한 이유에 대해 김진석 대표는 오픈소스의 종속성이 야기하는 보안 위협을 언급했다.

"공통보안취약점공개항목(CVE)이 알려진 것만 해도 15만개가 된다. 이 취약점들은 오픈소스에 스며들어 있다. A라는 SW가 있을 때, 이 SW가 B라는 오픈소스를 가져다 썼는데, B는 또 다른 오픈소스인 C가 반영돼 있다고 치자. 만약 C에 CVE가 존재할 경우 A를 수시로 업데이트하더라도 취약점이 남아 있게 된다."

래브라도 OSS 소스코드 분석 결과

오픈소스 라이선스 이슈를 섬세하기 관리하기 위한 측면에서도 SBoM이 도움이 된다.

"기업들이 오픈소스 내역을 공개하고 있지만, 고지 의무가 있는 라이선스만 선별해 보여주는 것이 일반적이다. 고지 의무와 상관없이 사용한 오픈소스 내역을 온전히 파악하고 있는 경우와, 고지 의무가 있는 라이선스만 파악하고 있는 것은 얘기가 완전히 다르다. 오픈소스를 그대로 쓰는 게 아니라 부분적으로만 가져오거나, 수정해서 쓰는 경우가 많은데 이런 활용 내역을 관리하고 나중에 찾아내는 게 쉽지 않다. 그러나 어렵더라도 관리가 필요한 부분이다."

사용한 오픈소스가 나중에 사용권 분쟁에 휘말리게 될 경우 큰 손실을 입거나, 사업 운영에 대한 위협으로 번질 가능성을 염두해 대체 가능한 소스코드를 항시 확보할 수 있게 해야 한다는 것이다.

기업·기관이 사용하는 SW을 노리는 '공급망 공격'으로 최근 대형 해킹 사고를 겪은 미국은 사이버보안 강화를 목적으로 SBoM 도입 확산을 위해 발 빠르게  나서고 있다. 지난 5월 행정명령을 발표, 정부에 납품하는 모든 기기의 SBoM 제공을 의무화하기 위해 현재 에너지, 의료 등의 분야에 제도를 시범 적용 중이다.

관련기사

무심코 활용한 오픈소스가 수출 장애물로 작용한 사례도 있다. 무기로 활용 가능한 품목에 대해 수출이 통제되는 '전략물자관리제도' 대상에 SW가 포함돼 있는 점이 원인이 됐다. 이런 사례가 재발하지 않게 하기 위해서는 미국과 마찬가지로 국내에서도 정부 주도 하에 SBoM 제출을 의무화해야 한다는 지적이다.

"SW 업체들 스스로도 자사 제품이 전략물자로 포함되는지 미처 깨닫지 못해 신고를 하지 않고, 이 때문에 수출길이 막히는 경우가 있었다. 암호화 모듈 등 전략물자관리제도 적용 대상인 오픈소스를 확인할 수 있게 하면 된다. 이런 걸 기업이 하긴 어렵다. 우리나라 정부도 오픈소스 기반 SW의 공급망 보안 강화를 위해 SBoM의 제도적 시행은 물론 국내 기업들의 해외 경쟁력 대응을 위해 적극적인 정책 지원이 필요하다."