소프트웨어 공급망 보안의 글로벌 동향: 주요 문제와 해결책
목차
- 요약
- 소프트웨어 공급망 보안의 주요 이슈
- 글로벌 동향과 국가별 정책
- 기술적 대응 방안
- 제3자 소프트웨어와의 관계 관리
- 결론
1. 요약
이 리포트는 최근 발생한 소프트웨어 공급망 보안 이슈와 이를 해결하기 위한 글로벌 동향을 분석합니다. 주요 사례로는 2020년 솔라윈즈 사건과 크라우드스트라이크 소프트웨어 업데이트 결함이 있으며, 이는 전 세계 여러 기관에 큰 피해를 입혔습니다. 리포트는 대형 공급망 공격, 소프트웨어 업데이트에서의 기술적 오류, 공급망 보안 관리 부실로 인해 증가하는 공격 위험 등을 다루며, 미국, 유럽연합, 한국 등의 국가별 정책도 분석합니다. 마지막으로, 소프트웨어 자재 명세서(SBOM) 도입, 정기적인 보안 패치 적용, CI/CD 파이프라인에 보안 검증 단계 추가 등의 기술적 대응 방안을 제시합니다. 이를 통해 기업들이 공급망 보안을 강화할 수 있는 실질적인 방법을 제시하고 있습니다.
2. 핵심 인사이트
2020년 솔라윈즈 사건은 공급망 보안의 중요성을 일깨웠으며, 대규모 피해를 초래했습니다.
소프트웨어 업데이트 과정의 기술적 오류는 심각한 사이버 공격 위협을 초래합니다.
미국, EU, 한국 등은 공급망 보안을 강화하기 위한 규제와 가이드라인을 발표했습니다.
SBOM은 소프트웨어 구성 요소를 체계적으로 관리하여 보안 취약점을 사전에 발견하게 합니다.
3. 소프트웨어 공급망 보안의 주요 이슈
3-1. 대규모 공급망 공격: 2020년 솔라윈즈 사건
2020년 솔라윈즈 사건은 공급망 공격의 대표적인 사례로, 백도어가 발견되어 1만8000개 이상의 기관과 기업이 피해를 입었습니다.
가트너는 내년까지 전 세계 조직의 45%가 소프트웨어 공급망 공격을 경험할 것이라고 예측하고 있습니다.
이 사건은 미국 역사상 최악의 사이버 공격 중 하나로 꼽히며, 공급망 보안의 중요성을 다시 한 번 각인시켰습니다.
- 사이버범죄 신고시스템 8/10
- 소프트웨어 공급망 보안 가이드라인 9/10
사유: 사이버범죄 신고시스템은 다양한 사이버 공격을 예방할 수 있는 기능을 제공하지만, 실제 사례에서 보여준 것처럼 보안이 완벽하지 않음을 드러냈습니다. 반면, 소프트웨어 공급망 보안 가이드라인은 이러한 공격을 예방하기 위한 체계적인 접근 방식을 제시하여 높은 평가를 받았습니다.
3-2. 소프트웨어 업데이트에서의 기술적 오류
소프트웨어 업데이트 과정에서 발생할 수 있는 기술적 오류는 사용자에게 큰 피해를 줄 수 있습니다.
특히 이를 악용하여 제3의 사이버 공격자가 업데이트 서버의 권한을 탈취하는 경우, 상상할 수 없는 피해를 초래할 수 있습니다.
크라우드 스트라이크 소프트웨어 업데이트 결함으로 인해 전 세계 공항과 병원에서 피해가 발생한 사례가 있습니다.
| 사례 | 피해 내용 | 조치 사항 |
|---|---|---|
| 솔라윈즈 사건 | 1만8000개 이상의 기관 피해 | 보안 강화를 위한 정책 도입 |
| 크라우드 스트라이크 결함 | 전 세계 공항 및 병원 피해 | 소프트웨어 업데이트 점검 강화 |
위 표는 소프트웨어 업데이트 과정에서 발생한 주요 사례와 그에 따른 피해 내용을 요약한 것입니다. 각 사건은 소프트웨어 공급망 보안의 중요성을 강조하며, 이를 통해 향후 예방 조치가 필요함을 보여줍니다.
3-3. 공급망 보안 관리 부실로 인한 공격 증가
공급망 보안 관리가 부실할 경우 사이버 공격의 위험이 크게 증가합니다.
한국인터넷진흥원(KISA)은 2023년 사이버 보안 위협 분석에서 소프트웨어 공급망 공격을 주요 위협으로 지목했습니다.
안전한 소프트웨어 배포는 현재 세계 보안 당국의 핵심 의제가 되고 있습니다.
- 크라우드스트라이크 보안 솔루션 9/10
- 알약 백신 프로그램 7/10
사유: 크라우드스트라이크 보안 솔루션은 공급망 보안을 강화하는 데 있어 높은 평가를 받았으나, 알약 백신 프로그램은 일부 사용자가 보안에 대한 신뢰를 느끼지 못하는 경우가 있어 낮은 평가를 받았습니다.
4. 글로벌 동향과 국가별 정책
4-1. 미국의 보안 소프트웨어 개발 가이드라인과 자체 증명 요구 사항
미국은 2020년 솔라윈즈 공급망 공격을 계기로 공급망 보안 규제를 강화하기 시작했습니다. 대통령 행정명령 14028에 따라 연방정부에 납품되는 모든 소프트웨어는 일정 수준 이상의 보안 관리가 요구됩니다.
소프트웨어 개발자는 'Secure Software Development Attestation Form'을 제출해야 하며, 이는 NIST에서 개발한 Secure Software Development Framework에 근거한 것입니다.
현재 자가명세서는 선언적 계약 문서로, 향후 보다 상세한 체크리스트 형태의 명세서가 필요할 것으로 예상됩니다.
- 미국 보안 소프트웨어 개발 가이드라인 8/10
사유: 미국의 규제는 명확한 기준을 제공하며, 보안성을 높이려는 지속적인 노력이 돋보입니다.
4-2. 유럽연합의 디지털 기기의 사이버복원력 법안 승인
EU는 사이버 보안을 디지털 정책의 성공을 위한 핵심으로 간주하고, Cyber Resilience Act를 제안했습니다.
ENISA는 공급망 보안 공격과 그 결과를 검토한 보고서를 발표하여 조직이 시행해야 할 권장 사항을 공유했습니다.
EU의 법안은 공급망 보안을 강화하고, 사이버 공격에 대한 저항력을 높이기 위한 다양한 입법적 노력을 포함하고 있습니다.
- EU 사이버복원력 법안 9/10
사유: EU의 법안은 사이버 보안에 대한 종합적인 접근을 제공하며, 글로벌 기준을 설정하는데 기여하고 있습니다.
4-3. 한국의 소프트웨어 공급망 보안 가이드라인 발표
한국은 최근 'SW 공급망 보안 가이드라인'을 배포하여 보안 분야에 대한 관심을 불러일으키고 있습니다.
국가 사이버 안보 기본 계획의 일환으로, 관리용 소프트웨어 보호 및 공급망 보안 강화를 주요 과제로 삼고 있습니다.
SW 공급망 보안 국제 동향과 SBOM 활용 사례를 담은 가이드라인이 공개되었으며, 향후 산업 영역별 특화 가이드라인도 예상됩니다.
- 한국 SW 공급망 보안 가이드라인 7/10
사유: 가이드라인은 유용하나, 실행 가능성에 대한 구체적인 방안이 부족한 부분이 아쉬움으로 지적됩니다.
5. 기술적 대응 방안
5-1. 소프트웨어 자재 명세서(SBOM) 도입을 통한 신뢰성 확보
SBOM(Software Bill of Materials)을 도입함으로써 소프트웨어의 모든 구성 요소를 체계적으로 관리하고, 이를 통해 보안 취약점을 사전에 발견할 수 있습니다.
KISA의 보고서에 따르면, SBOM은 조직이 소프트웨어의 보안 상태를 명확히 이해하고, 발생할 수 있는 위험 요소를 사전에 점검하는 데 도움을 줍니다.
특히, 오픈소스 소프트웨어에서 발생할 수 있는 보안 취약점을 예방하기 위해 SBOM을 활용하는 것이 중요합니다.
- 사이버범죄 신고시스템의 8/10 평점
- 크라우드스트라이크 보안 솔루션의 9/10 평점
사유: 사이버범죄 신고시스템은 SBOM 도입에 대한 명확한 가이드라인을 제공하여 신뢰성을 높이고 있으며, 크라우드스트라이크는 강력한 보안 기능을 통해 SBOM의 효율성을 극대화하고 있습니다.
5-2. 정기적인 보안 패치 적용과 오픈 소스 코드의 철저한 검증
정기적으로 보안 패치를 적용하는 것은 사이버 보안 위협에 대한 가장 기본적인 대응 방안입니다.
오픈소스 소프트웨어의 경우, 검증된 소스를 사용하고 개발자들에게 보안 교육을 실시하는 것이 중요합니다.
디지털데일리는 오픈소스 소프트웨어의 취약점을 이용한 공격이 증가하고 있다고 경고하며, 보안 패치의 중요성을 강조합니다.
| 제품 이름 | 보안 패치 적용 | 오픈소스 코드 검증 |
|---|---|---|
| 사이버범죄 신고시스템 | 정기적 적용 | 검증된 소스 사용 |
| 소프트웨어 공급망 보안 가이드라인 | 필수 적용 | 정기 검증 |
| 크라우드스트라이크 보안 솔루션 | 자동 업데이트 | 강력한 검증 시스템 |
| 알약 백신 프로그램 | 신속 적용 | 검증 필요 |
이 표는 각 제품이 보안 패치를 적용하는 방식과 오픈소스 코드 검증의 중요성을 비교합니다. 각 제품의 접근 방식과 정책이 어떻게 다르고, 어떤 점에서 강점을 가지는지 명확히 보여줍니다.
5-3. CI/CD 파이프라인에 보안 검증 단계 추가
CI/CD(Continuous Integration/Continuous Deployment) 파이프라인에 보안 검증 단계를 추가하는 것은 소프트웨어 개발 과정에서 보안성을 높이는 중요한 방법입니다.
KISA 보고서에 따르면, 보안 도구를 활용하여 코드의 보안 취약점을 자동으로 탐지하고 수정하는 것이 필수적입니다.
이러한 접근 방식은 배포 전에 코드의 안전성을 확보하여 보안 공격의 위험을 줄이는 데 큰 도움이 됩니다.
- 소프트웨어 공급망 보안 가이드라인의 9/10 평점
- 크라우드스트라이크 보안 솔루션의 9/10 평점
사유: 소프트웨어 공급망 보안 가이드라인은 CI/CD 파이프라인에 보안 검증 단계를 추가하는 것의 필요성을 강조하고 있으며, 크라우드스트라이크는 이를 체계적으로 지원하는 솔루션을 제공합니다.
6. 제3자 소프트웨어와의 관계 관리
6-1. 제3자 소프트웨어 공급자의 보안 검증 절차
제3자 소프트웨어 공급자의 보안 검증 절차는 기업의 정보 보호에 필수적입니다. 많은 기업이 제3자의 소프트웨어를 사용할 때 그들의 보안 상태를 충분히 검토하지 않는데, 이는 큰 위험을 초래할 수 있습니다.
소프트웨어 공급망의 복잡성으로 인해 오픈 소스 및 독점 소프트웨어에 대한 보안 검증이 더욱 중요해졌습니다.
보고서에 따르면, 실제로 61%의 기업이 소프트웨어 공급망 공격으로 직접적인 피해를 입은 것으로 나타났습니다.
- 사이버범죄 신고시스템의 7/10 평점
- 소프트웨어 공급망 보안 가이드라인의 8/10 평점
사유: 사이버범죄 신고시스템은 보안 검증 절차에 대한 명확한 지침이 부족해 평점이 낮게 평가되었습니다. 반면, 소프트웨어 공급망 보안 가이드라인은 명확한 검증 절차를 제공하여 높은 평점을 보였습니다.
6-2. 오픈 소스 소프트웨어와 상호작용하는 보안 방안
오픈 소스 소프트웨어는 많은 기업에서 사용되고 있지만, 이로 인해 발생하는 보안 취약점 또한 무시할 수 없습니다.
소프트웨어 공급망의 복잡성으로 인해 기업들이 오픈 소스의 보안 상태를 충분히 이해하지 못하고 있는 경우가 많습니다.
보고서에 따르면, 단 7%의 기업만이 소프트웨어 공급망 위험을 검토하려고 시도한 것으로 나타났습니다.
| 기업명 | 오픈 소스 사용 여부 | 보안 취약점 검토 비율 |
|---|---|---|
| 기업 A | 사용 | 6% |
| 기업 B | 사용 | 8% |
| 기업 C | 사용 안 함 | N/A |
이 표는 다양한 기업의 오픈 소스 소프트웨어 사용 여부와 보안 취약점 검토 비율을 보여줍니다. 이는 오픈 소스 소프트웨어의 보안 관리의 중요성을 강조하는 데 도움이 됩니다.
6-3. 서드 파티 벤더와의 계약 조건 내 보안 요구 사항 명시
서드 파티 벤더와의 계약에서 보안 요구 사항을 명시하는 것은 매우 중요합니다. 이를 통해 기업은 공급망 내 보안 위협을 사전에 차단할 수 있습니다.
계약 조건 내 보안 요구 사항이 부족할 경우, 기업은 보안 사고 발생 시 책임을 지기 어려운 상황에 처할 수 있습니다.
보안 위협 및 취약점에 대한 명확한 정의와 함께, 지속적인 모니터링 및 분석이 필요합니다.
- 크라우드스트라이크 보안 솔루션의 9/10 평점
- 알약 백신 프로그램의 6/10 평점
사유: 크라우드스트라이크 보안 솔루션은 서드 파티 벤더와의 계약에서 보안 요구 사항을 잘 명시하고 있는 반면, 알약 백신 프로그램은 이 부분에 대한 명확한 가이드라인이 부족해 평점이 낮게 평가되었습니다.
7. 결론
소프트웨어 공급망 보안은 글로벌 IT 환경에서 모든 조직이 직면한 중요한 과제가 되었습니다. 2020년 솔라윈즈 사건과 같은 대규모 공급망 공격은 지속적인 위협으로 남아 있으며, 미국, 유럽연합, 한국 등의 정책은 이러한 위협에 대응하고 있습니다. 소프트웨어 자재 명세서(SBOM)는 소프트웨어의 신뢰성을 높이기 위한 중요한 도구로, 이를 통해 보안 취약점을 사전에 발견하고 대응할 수 있습니다. 크라우드스트라이크와 같은 솔루션은 공급망 보안을 강화하는 데 효과적이지만, 여전히 보안 검증 절차와 교육이 부족한 현실입니다. 리포트는 궁극적으로 정기적인 보안 패치와 오픈소스 코드 검증, CI/CD 파이프라인에 보안 검증 단계를 추가하는 등의 방안을 제시하며, 서드 파티 벤더와의 계약 조건에도 명확한 보안 요구 사항을 포함시킬 것을 권고합니다. 기업들은 이러한 조치를 통해 보안 사고를 예방하고, 공급망 보안 강화를 위한 지속적인 노력이 필요합니다.
8. 용어집
8-1. 소프트웨어 공급망 공격 [사이버 공격]
소프트웨어 공급망 공격은 개발 과정에서 악성 코드를 삽입하거나, 업데이트 서버를 해킹하여 악성 패치를 배포하는 형태의 공격을 말합니다. 이 공격은 대규모 피해를 줄 수 있어 보안 업계의 주요 관심사입니다.
8-2. 소프트웨어 자재 명세서(SBOM) [보안 문서]
SBOM은 소프트웨어의 구성 요소와 개발 과정, 타 소프트웨어와의 융합 방식 등을 상세히 기록한 문서로써, 소프트웨어의 신뢰성을 높이고 보안 취약점을 사전에 식별하고 모니터링할 수 있게 해줍니다.
8-3. 솔라윈즈 사건 [사이버 공격 사건]
2020년 발생한 솔라윈즈 사건은 미국 정부 기관 및 주요 기업들이 사용하는 소프트웨어의 공급망을 통한 대규모 해킹 사건으로, 소프트웨어 업데이트를 통해 악성 코드를 배포한 공격입니다.
9. 출처 문서
- 개인 정보 보호 및 약관 | McAfeehttps://www.mcafee.com/ko-kr/consumer-support/policy/legal.html
- 복잡한 소프트웨어 공급망 보안 강화책 < 솔루션가이드 < IT·산업 < 뉴스 < 기사본문 - 지티티코리아https://www.gttkorea.com/news/articleView.html?idxno=12684
- 소프트웨어 공급망 보안의 글로벌 동향https://m.boannews.com/html/detail.html?idx=132058
- 사이버 보안 분야 주요 기업의 시장 성과와 ICT 공급망 관련 정책 동향https://ettrends.etri.re.kr/ettrends/208/0905208005/0905208005.html
- 올해 가장 유의해야 할 사이버 보안 위협은https://www.epnc.co.kr/news/articleView.html?idxno=304401
- 공급망보안 핵심은 '관리용SW 보호'...사이버안보전략 추진 기대감↑https://m.ddaily.co.kr/page/view/2024090314064675445
- "어? 프로그래밍 실수가 비행기 멈춰 세웠다"…공급망 보안 비상https://www.newsis.com/view/NISX20240813_0002849083
- 코로케이션, 서버호스팅, AI인공지능, GPU서버, 보안 | 데이터센터의 표준 - 이호스트IDChttps://www.ehostidc.co.kr/management/backup.php