SBOM과 DAST에 의존하는 소프트웨어 개발 책임자
53
%
자료 제목 :
소프트웨어 공급망 위험
Software Supply Chain Risk
자료 출처 :
Coalfire, CyberRisk Alliance
원본자료 다운로드
발행 날짜 :
2022년 07월 19일
모바일 / 보안

블로그ㅣSW 공급망 보안, ‘SBOM’만으론 부족하다

Christopher Burgess | CSO 2022.08.29
솔라윈즈(SolarWinds) 해킹 여파로 ‘공급망 보안’이 산업과 관계없이 모든 기업에서 중요한 문제로 떠올랐다. 

이에 美 사이버 보안 및 인프라 보안국(CISA)은 정보통신기술(ICT) 공급망 위험 관리 태스크포스를 구성하기도 했다. 공급망 보안을 강화하는 실행 가능한 전략 개발을 목표로 공공 및 민간 기관을 통합하려는 조치다. 
 
ⓒ Getty Images Bank

코얼파이어(Coalfire)의 최신 소프트웨어 공급망 위험 보고서는 “소프트웨어 공급망 및 제품 개발 라이프사이클 내에서의 위험 관리가 기존에 물리적 재고 및 장비 공급 라인의 보호만큼 중요해졌다”라고 밝혔다. 아울러 해당 보고서에서 인용된 코얼파이어와 사이버리스크 얼라이언스(CyberRisk Alliance)가 공동으로 실시한 설문조사에서는 관리자의 52%가 공격에 노출된 소프트웨어를 우려하고 있는 것으로 나타났다. 

한편 CISA는 소프트웨어 공급망 공격 방어 지침을 발표했다. 여기에는 기업 및 소프트웨어 공급업체가 위험을 최소화할 수 있는 권장 사항도 포함돼 있다. 6가지 벡터는 다음과 같다. 
 
  1. 설계
  2. 개발 및 생산
  3. 유통
  4. 획득 및 배포
  5. 유지보수
  6. 폐기(IT 자산 처분(ITAD))

 
SBOM만으로는 ‘너무나 부족’하다

코얼파이어의 제품 전략 부문 부사장 댄 코넬은 하나의 방식이 모든 경우에 다 적용될 순 없다면서, 기업마다 위험을 평가하고 이해하는 방식이 다르다고 말했다. 그는 기존 보안 관리에 서비스 수준 계약(SLA), 측정 가능한 결과 등이 어떻게 포함됐는지 언급하면서, “소프트웨어 제작 회사가 ‘SBOM만 사용하는 것’은 최소한의 접근 방식이며, 이는 너무나도 부족하다”라고 지적했다. 

이어 그는 “진정한 공급망 가시성은 SBOM만으론 제공되지 않는다. SBOM을 넘어서 투명성을 확보해야 하지만 업계가 그런 욕구를 가지고 있는지는 모르겠다”라고 덧붙였다. 


소프트웨어 구매를 지연시키는 위험 가시성 부족

코넬은 (소프트웨어) 구매자가 계약에 서명하기 전에 공급업체 제품의 잠재적 위험을 확인하는 데 필요한 가시성을 요구할 권한이 있 다고 말했다. 당연한 일이지만 ‘위험에 초점을 맞춘 질문(risk-based questions)’을 던지는(그리고 답을 요구하는) 구매자가 증가했다. 다시 말해, 위험을 해결해야 할 필요성이 고객에게 맡겨졌으며, 그 결과 거래 속도가 느려졌다. 

필자는 코넬의 말에 전적으로 동의한다. CISO는 단순히 누구나 아는, 그래서 뻔한 대답이 나오기 마련인 질문이 아니라 ‘위험에 초점을 맞춘’ 질문을 해야 한다. 공급업체가 이 기대치를 충족시키지 못한다면 그렇게 할 수 있는 의욕과 역량이 있는 경쟁업체를 찾아야 한다. 

시높시스(Synopsys)의 수석 보안 전략가 팀 맥키 역시 SBOM은 최소한의 접근 방식이며, 많은 사람이 생각하는 만큼 만병통치약은 아니라고 전했다. 그는 “모든 SBOM이 똑같이 만들어지는 건 아니다”라면서, “코더의 경험 부족이 위험을 수반할 수 있다. 자격증명 및 기밀을 코드로 하드코딩하는 것이 특정 사례에는 적합할 수 있다고 말했다”라고 덧붙였다. 

블랙 햇 2022(Black Hat 2022)에서 아피로(Apiiro)의 보안 연구 부문 부사장 모세 시오니가 제안한 권장 사항은 자격증명 및 기타 기밀을 저장하기 위해 ‘볼트(vaults)’를 사용하는 것이다. 그는 “이러한 상황에서 제한된 기간 동안만 액세스할 수 있도록 해 침해를 줄인다”라고 설명했다. 

CISO는 더 안전한 공급망을 만드는 대가로 편의성을 확보하려는 충동과 싸워야 한다. 또 CISO는 비즈니스 운영을 지원하는 한편 SCRM(공급망 위험 관리) 가시성의 핵심 구성 요소를 모든 공급업체와의 협상에서 포함시켜야 한다. 거래를 성사시키고 비즈니스에 착수하려는 충동을 억제하는 요소는 큰 장애물일 수 있지만 공급망 보안이 적절하게 해결되려면 반드시 제거해야 한다. 

* Christopher Burgess는 시스코의 선임 보안 고문 출신이며, 데이터 및 보안 분야에서 여러 스타트업의 CEO/COO를 역임한 바 있다.
ciokr@idg.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.