마이크로소프트(MS)와 구글이 전세계 사이버 보안 위협으로 떠오른 오픈소스 소프트웨어 공급망(이하 공급망) 보안 문제 개선에 앞장선다.
최근 오픈소스 보안재단(OpenSSF)은 공급망 보안을 개선하는 알파오메가 프로젝트에 참여한다고 밝혔다.
두 기업은 500만 달러의 초기 투자 및 기술 지원을 담당한다. 또한 실시간 서비스를 위한 클라우드 인프라 및 보안 도구 등도 지원한다.
알파오메가 프로젝트는 마이크로소프트, 구글 등 주요 IT 기업이 참석해 오픈 소스 소프트웨어 보안에 대해 논의한 백악관 회담 이후 마련됐다.
로그4j의 취약점 등 소프트웨어 공급망을 악용한 대규모 공격을 막기 위해 아직 발견되지 않은 새로운 취약점을 체계적으로 찾고 수정하는 것을 목표로 한다.
공급망 공격은 소프트웨어를 배포하거나 업데이트하는 과정에 침투해, 파일을 변조하거나 악성코드를 숨기는 방식이다. 변조된 파일은 탐지가 어렵고 한 번에 대규모 유포가 가능해 피해규모가 크다.
지난해 미국 정부 기관과 수많은 고객이 악성코드에 감염된 솔라윈즈, 카세야 보안 사고 역시 공급망 공역이었다.
이 프로젝트는 알파와 오메가 두 단계로 나눠 진행된다.
알파는 1만 개에 달하는 오픈소스 프로젝트를 중요도 순으로 분류한 후 중요도가 높은 순서대로 보안 단계를 평가한다. 중요도는 오픈SSF 크리티컬 스코어와 하버드 켄서스 분석 등 전문 도구와 전문가의 의견을 수렴해 진행한다.
대규모 작업인 만큼 위협 모델링, 자동화된 보안 테스트, 소스 코드 감사, 발견된 취약점 수정 지원 등 자동화 도구도 적용된다.
오메가는 자동화 도구를 사용해 오픈 소스 프로젝트에서 주요 보안 취약점을 지속으로 식별할 수 있는 방법을 찾는다. 오탐률을 줄이고 새로운 취약점을 식별하기 위해 분석 파이프라인을 지속적으로 조정하는 소프트웨어 엔지니어 전담 팀이 구축될 예정이다.
마이크로소프트 마크 러시노비치 애저 CTO는 “알파오메가 프로젝트를 지원하게 된 것을 자랑스럽게 생각한다”라며 “유지 관리자와 최첨단 보안 도구를 사용하여 중요한 취약점을 감지하고 수정함으로써 주요 오픈 소스 프로젝트에 대한 보증과 투명성을 제공하기 위해 노력할 것”이라고 전했다.
마이크로소프트와 구글은 지난 8월 열린 백악관 회의 이후 알파오메가 프로젝트 외에도 사이버 보안 지원에 나선다.
관련기사
- '로그4j' 사태 후 50일.."몇 년은 지켜봐야"2022.01.31
- 쓸 땐 좋았는데...'오픈소스 보안' 문제 환기한 로그4j2021.12.29
- 로그4j 또 취약점 발견, 아파치SW재단 새 패치 배포2021.12.20
- 개인정보 유출 곳곳에서 발생...'로그4j' 사태도 발발2021.12.17
사티아 나델라 마이크로소프트 최고경영자(CEO)는 자체 보안 제품과 서비스를 발전시키기 위해 향후 5년 동안 200억 달러를 지출할 것이라고 밝혔다.
구글은 5년간 제로 트러스트 프로그램 확장, 소프트웨어 공급망 보안 지원, 오픈 소스 보안 강화를 위해 100억 달러를 투자한다.