SW 공급망 뚫리면 해커 전용 '하이패스' 열려... 보안 대책은?
2023-06-01 17:40
SBOM 분석 등 SW 공급망 보안 체계적 도입 방안 논의
과기정통부, 내년 예산 추가 협의 중... 인력, 지원체계 마련
과기정통부, 내년 예산 추가 협의 중... 인력, 지원체계 마련
제조업에서 공급망이란 특정 재료와 부품을 조달해 제품화하고, 이를 소비자에게 판매하는 모든 과정을 말한다. 소프트웨어에(이하 SW)도 이러한 개념이 존재한다. SW 개발, 시험, 배포, 업데이트, 운영 등 모든 과정을 포함한다.
만약 해커가 이 과정에 침투하는 데 성공한다면, SW가 배포되는 '정상' 과정을 통해 악성코드를 배포할 수 있다. 기업 내부 시스템으로 연결되는 '하이패스' 차로가 열리는 셈이다.
과학기술정보통신부는 1일 LG전자 서초 연구개발(R&D) 캠퍼스에서 박윤규 제2차관 주재로 SW 공급망 보안 추진을 위한 현장 간담회를 개최했다. 이날 행사에선 SW 공급망 보안 글로벌 동향과 함께 LG전자가 운영 중인 보안 체계를 소개했다.
지난 2020년 12월 발생한 '솔라윈즈 해킹 사건'은 전 세계 보안 업계와 SW 업계에 큰 충격을 줬다. 솔라윈즈는 네트워크 관리 솔루션 제공 기업으로, 포춘 500대 기업 중 400개 이상이 도입했다.
해커는 솔라윈즈를 해킹해 솔루션 일부 버전에 백도어를 심었다. 이는 솔라윈즈의 SW 공급망을 통해 고객사로 배포됐으며, 최소 3만3000개 기업이 해당 버전을 설치한 것으로 알려졌다.
SW 개발·유통 환경이 특정 국가를 넘어 세계로 확산되는 추세에서 SW 공급망에 대한 공격 효과도 전 세계로 확산될 수 있다. 이에 따라 개별 기업 차원의 보안 대책은 물론, 국가 차원의 대응책 마련도 필요하다.
특히 보안 체계 마련을 통해 기업은 자사 제품의 투명성과 신뢰성을 높일 수 있으며, 장기적으론 국내 SW 기업의 해외 진출에도 긍정적인 영향을 줄 전망이다. 국가 차원에서도 날로 늘어나는 사이버 위협에 대해 예방과 발생 시 피해 최소화 등 체계적인 대응이 가능하다.
박윤규 차관은 "미국 바이든 행정부는 솔라윈즈, 로그4j 등 역대급 SW 공급망 공격 사건을 겪으면서, 행정명령을 통해 보안 강화 방안을 발표했다. 유럽도 이와 관련한 입법 논의를 진행 중"이라고 말했다.
그러면서 "과기정통부는 지난해 10월 민·관 전문가가 참여하는 제로트러스트·공급망 보안 포럼을 발족했다"며 "내년에는 재원을 늘려 SW 개발 단계에서부터 보안을 강화하고, 공급망 전체에 대한 관리 체계를 구축하는 등 범위를 확대할 계획"이라고 덧붙였다.
LG전자는 포스라이트(FOSSLigth)를 통해 SW 공급망 보안에 대응하고 있다. 이는 오픈소스 SW 사용 시 내부에 보안 취약점이 들어있는지, 라이선스 조건은 무엇인지 등 세부적인 정보를 알려주는 일종의 허브(Hub)다. LG전자가 2014년 개발을 시작해 2021년 공개했다. 중소기업의 SW 개발보안 역량 강화를 지원하기 위해서다.
김경애 LG전자 연구위원은 "대기업은 SW 공급망 보안 체계를 갖춰 대응하는 반면, 중소기업은 이러한 대응이 어렵다. SW는 기업 혼자서 개발하는 것이 아니라, 여러 공급망으로부터 전달받아 제품에 탑재한다. 때문에 중소기업과의 상생과 보안 향상을 바라며 포스라이트를 공개했다"고 설명했다.
과기정통부는 SW 공급망 보안 방안 중 하나로 'SBOM' 분석이 주효한 것으로 보고, 관리 체계 마련과 실증사업을 추진할 계획이다. SBOM은 SW가 어떤 코드로 구성돼 있는지 기록하는 일종의 구성품 명세서다. 이를 지속 분석하면 보안성을 확보할 수 있다는 것이 과기정통부 측의 설명이다.
다만 SBOM 생성, 데이터베이스 구축, 취약점 분석과 조치 등 일련의 보안체계를 구축하기 위해선 전문 인력, 관리 시스템, 법제도 등이 마련돼야 한다. 이에 정부는 올해 실증사업과 체계를 구축하고, 예산을 늘려 내년부터 인력 확보, 지원체계 정비 등을 추진할 계획이다.
이익섭 한국인터넷진흥원 디지털안전단장은 "올해 사업을 통해 SBOM 기반 SW 공급망 보안 실증사업을 추진하고, 기존의 사고 대응 중심에서 공급망 보안을 고려한 침해대응 체계로 확대 개편을 모색하고 있다"며 "실증 대상은 의료 SW, 보안 SW 등 파급력이 큰 것을 대상으로 추진할 계획"이라고 밝혔다.
그러면서 "올해 하반기 실증사업 결과를 바탕으로 신뢰할 수 있는 SW 공급망 보안 지원체계 구축을 목표로 하고 있다"고 덧붙였다.
만약 해커가 이 과정에 침투하는 데 성공한다면, SW가 배포되는 '정상' 과정을 통해 악성코드를 배포할 수 있다. 기업 내부 시스템으로 연결되는 '하이패스' 차로가 열리는 셈이다.
과학기술정보통신부는 1일 LG전자 서초 연구개발(R&D) 캠퍼스에서 박윤규 제2차관 주재로 SW 공급망 보안 추진을 위한 현장 간담회를 개최했다. 이날 행사에선 SW 공급망 보안 글로벌 동향과 함께 LG전자가 운영 중인 보안 체계를 소개했다.
지난 2020년 12월 발생한 '솔라윈즈 해킹 사건'은 전 세계 보안 업계와 SW 업계에 큰 충격을 줬다. 솔라윈즈는 네트워크 관리 솔루션 제공 기업으로, 포춘 500대 기업 중 400개 이상이 도입했다.
해커는 솔라윈즈를 해킹해 솔루션 일부 버전에 백도어를 심었다. 이는 솔라윈즈의 SW 공급망을 통해 고객사로 배포됐으며, 최소 3만3000개 기업이 해당 버전을 설치한 것으로 알려졌다.
SW 개발·유통 환경이 특정 국가를 넘어 세계로 확산되는 추세에서 SW 공급망에 대한 공격 효과도 전 세계로 확산될 수 있다. 이에 따라 개별 기업 차원의 보안 대책은 물론, 국가 차원의 대응책 마련도 필요하다.
특히 보안 체계 마련을 통해 기업은 자사 제품의 투명성과 신뢰성을 높일 수 있으며, 장기적으론 국내 SW 기업의 해외 진출에도 긍정적인 영향을 줄 전망이다. 국가 차원에서도 날로 늘어나는 사이버 위협에 대해 예방과 발생 시 피해 최소화 등 체계적인 대응이 가능하다.
박윤규 차관은 "미국 바이든 행정부는 솔라윈즈, 로그4j 등 역대급 SW 공급망 공격 사건을 겪으면서, 행정명령을 통해 보안 강화 방안을 발표했다. 유럽도 이와 관련한 입법 논의를 진행 중"이라고 말했다.
그러면서 "과기정통부는 지난해 10월 민·관 전문가가 참여하는 제로트러스트·공급망 보안 포럼을 발족했다"며 "내년에는 재원을 늘려 SW 개발 단계에서부터 보안을 강화하고, 공급망 전체에 대한 관리 체계를 구축하는 등 범위를 확대할 계획"이라고 덧붙였다.
LG전자는 포스라이트(FOSSLigth)를 통해 SW 공급망 보안에 대응하고 있다. 이는 오픈소스 SW 사용 시 내부에 보안 취약점이 들어있는지, 라이선스 조건은 무엇인지 등 세부적인 정보를 알려주는 일종의 허브(Hub)다. LG전자가 2014년 개발을 시작해 2021년 공개했다. 중소기업의 SW 개발보안 역량 강화를 지원하기 위해서다.
김경애 LG전자 연구위원은 "대기업은 SW 공급망 보안 체계를 갖춰 대응하는 반면, 중소기업은 이러한 대응이 어렵다. SW는 기업 혼자서 개발하는 것이 아니라, 여러 공급망으로부터 전달받아 제품에 탑재한다. 때문에 중소기업과의 상생과 보안 향상을 바라며 포스라이트를 공개했다"고 설명했다.
과기정통부는 SW 공급망 보안 방안 중 하나로 'SBOM' 분석이 주효한 것으로 보고, 관리 체계 마련과 실증사업을 추진할 계획이다. SBOM은 SW가 어떤 코드로 구성돼 있는지 기록하는 일종의 구성품 명세서다. 이를 지속 분석하면 보안성을 확보할 수 있다는 것이 과기정통부 측의 설명이다.
다만 SBOM 생성, 데이터베이스 구축, 취약점 분석과 조치 등 일련의 보안체계를 구축하기 위해선 전문 인력, 관리 시스템, 법제도 등이 마련돼야 한다. 이에 정부는 올해 실증사업과 체계를 구축하고, 예산을 늘려 내년부터 인력 확보, 지원체계 정비 등을 추진할 계획이다.
이익섭 한국인터넷진흥원 디지털안전단장은 "올해 사업을 통해 SBOM 기반 SW 공급망 보안 실증사업을 추진하고, 기존의 사고 대응 중심에서 공급망 보안을 고려한 침해대응 체계로 확대 개편을 모색하고 있다"며 "실증 대상은 의료 SW, 보안 SW 등 파급력이 큰 것을 대상으로 추진할 계획"이라고 밝혔다.
그러면서 "올해 하반기 실증사업 결과를 바탕으로 신뢰할 수 있는 SW 공급망 보안 지원체계 구축을 목표로 하고 있다"고 덧붙였다.