Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
보안 / 애플리케이션

솔라윈즈, 차세대 ‘병렬 빌드’ 시스템 발표…보안 내재화에 총력

John P. Mello Jr. | InfoWorld 2022.07.04
솔라윈즈가 치명적인 피해를 본 공급망 공격을 교훈 삼아 보안을 한층 강화한 새 소프트웨어 개발 시스템을 구축했다고 30일 밝혔다. 
 
ⓒ Adobe Stock Image

2020년, 한 해커 조직이 ‘선버스트(Sunburst)’라 불리는 악성 코드를 솔라윈즈의 소프트웨어 개발 시스템 오리온(Orion)에 심어 큰 타격을 가한 이래로 이 회사는 공급망 공격의 대명사격이 됐다. 선버스트는 오리온을 업데이트한 전 세계의 수많은 정부와 기업 고객에게 유포되어 막대한 피해를 줬다. 

솔라윈즈는 이 사태로 뼈아픈 교훈을 얻었다. 그리고 교훈의 결과로 지난 22일(현지 시각) 차세대 빌드 시스템(Next-Generation Build System)을 발표했다. 소프트웨어 개발 환경의 무결성을 강화하는 일련의 기술을 포함한 시스템이다. 업계 최초로 적용한 ‘병렬 빌드(parallel build)’ 프로세스가 특징이라고 회사는 밝혔다. 이 프로세스에서는 소프트웨어 개발이 여러 개의 안전한 중복 경로를 거쳐 이뤄지면서 무결성 검사를 위한 기반을 구축한다는 설명이다. 

451 리서치(451 Research)의 정보 보안 및 네트워킹 연구 책임자 다니엘 케네디는 "빌드 시스템에 컴파일된 바이너리가 해당 바이너리를 생성하는 데 쓰인 소스 코드와 일치하는지 확인하는 무결성 검사 절차가 없는 경우, 이러한 새 접근방식은 보안을 크게 강화할 것"이라고 평가했다. 그는 "새로운 시스템이 (예상보다) 비교적 이른 시일 안에 개발되었기 때문에 완성도가 높으리라고 보장하기는 어렵다. 다만 새로운 위협 발생 시 더 신속하게 대응하는 듯하다. 또한 새 시스템은 설계상 더 높은 투명성을 확보해 소프트웨어 개선, 유지, 개발의 속도와 안정성을 높일 것이다"라고 덧붙였다. 

기술 자문 회사 옴디아(Omdia)의 사이버 보안 부문 수석 애널리스트 릭 터너는 "앱데브(AppDev)에 대한 CI/CD 파이프라인 접근 방식은 선형적일 뿐만 아니라 기본적으로 단일 경로에 의존한다. 따라서 한 팀이 다른 팀의 작업을 점검할 수 있는 병렬 경로 방식의 도입은 보안 내재화(secure-by-design)을 이루는 데 일조할 듯하다"라고 언급했다. 


조금 더 일찍 도입됐더라면…

리치먼드 대학의 애널리틱스 및 오퍼레이션즈 부교수 시탈 텍디는 "이번에 발표된 새 빌드 방식이 2020년 3월에 도입됐더라면 공격을 예방하거나 대처할 수 있었을 것"이라고 말했다.

애플리케이션 보안 및 산업 도구 제공업체 F5의 저명한 엔지니어 켄 아로라는(너무 길어져서 CTO Office는 뺏습니다) "새로운 빌드 방식이 도입되면 해커가 발각되지 않은 채 시스템을 조작하는 취약점을 감소시킬 수 있을 것"이라고 설명했다. 그는 "해커가 일부 해킹에 성공하더라도, 특정 작업을 완료하면 자동으로 삭제되는 동적인 시스템 덕분에 보안 침해는 오래가지 못할 것이다"라고 덧붙였다. 


모두가 쓰는 인프라, 보안의 열쇠는 ‘협업’ 

정리하자면 솔라윈즈의 새로운 빌드 시스템은 다음의 4가지 보안 설계 원칙을 기반으로 구축됐다.
 
  1. 동적인 작업 방식: 특정 작업을 완료한 후 자동으로 삭제되는 단기 소프트웨어 빌드 환경을 사용한다.
  2. 체계적인 빌드 시스템: 소프트웨어는 모두 체계적으로 빌드되어 결정론적(deterministic)인 빌드를 보장한다. 따라서 모든 소프트웨어 바이프로덕트(byproduct)는 항상 동일한 보안 구성 요소를 가진다. 
  3. 분산 빌드 프로세스: 개발 프로세스가 분산적으로 진행되어 데이터 모델과 같은 소프트웨어 개발 바이프로덕트를 병렬로 생성한다. 이로써 예상치 못한 수정 사항을 탐지할 수 있는 기반이 구축된다. 
  4. 상세 기록 시스템: 모든 소프트웨어 빌드 단계가 추적되고 세부 기록이 유지된다. 완전한 추적 가능성과 영구적인 기록 증명(proof-of-record)이 확보된다. 

솔라윈즈의 CEO 수다크리슈나는 여기에 더해 새로운 빌드 시스템의 일부 구성 요소를 오픈소스 소프트웨어로 제공한다고 발표했다. 선버스트 공격을 받은 당시 솔라윈즈가 썼던 소프트웨어 빌드 프로세스가 업계에서 아직도 널리 사용되고 있기 때문이다. 수다크리슈나는 "업계 내에서 투명하게 소통하고 협업하는 것만이 계속 진화하는 위협에서 모두가 공유하는 사이버 인프라를 효과적으로 보호할 방법이다"라고 말했다.
ciokr@idg.co.kr
 Tags 무결성 병렬 처리 병렬빌드 솔라윈즈 솔라윈즈 해킹
Sponsored

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.