[디지털데일리 박세아 기자] 시높시스코리아가 소프트웨어 공급망 관리에 있어 높은 보안성을 유지하기 위해서는 '오픈소스' 관리가 핵심적이라고 강조했다.

과학기술정보통신부(이하 과기정통부)와 정보통신산업진흥원(NIPA), 디지털데일리와 함께 14일 서울 서초구 양재 엘타워에서 개최한 ‘오픈 테크넷 서밋 2023’에서 시높시스코리아가 '소프트웨어 공급망에서 오픈소스 관리 포인트' 관련 발표를 진행했다.

시높시스코리아 제병주 부장은 "소프트웨어 공급망이 사이버보안에서 가장 취약한 고리"라며 "지난 한 해 동안 61% 사업이 소프트웨어 공급망 위협으로 피해를 입었다"라고 말했다.

실제 전 세계적으로 사이버 보안 위협이 지속됨에 따라 이에 대한 대책이 강화되고 있다. 미국은 소프트웨어 공급망 보안을 강화하는 행정명령을 발표했다. 유럽은 유럽에 납품되는 디지털 제품에 소프트웨어 구성요소 명세서(SBOM) 작성 의무화와 같은 기본적인 사이버 보안 요구 사항을 규정한 법안 입법을 논의하고 있다.

현재 널리 알려진 기업의 프로젝트에 대한 사이버보안 대응 과정은 동적분석, 정적분석, 대형형분석, 소프트웨어 구성 분석 등의 과정을 거친다. 이 과정들을 거치며 소스코드에 존재하는 보안 취약점을 발견하고, 프로토콜과 어플리케이션 프로그래밍 인터페이스(API)를 통해 노출되는 취약점을 검출하는 등 대응을 하게된다.

특히 이 과정에서 최근 '오픈소스'가 소프트웨어 공급망 위험 관리에서 핵심 요소로 떠오르고 있다는 게 제 부장 설명이다. 개인·기업들이 활용하는 소프트웨어 대부분은 오픈소스를 활용해 개발되고 있기 때문이다. 시높시스에서 발행한 오픈소스 리스크 분석 리포트에 따르면 전체 프로젝트 코드 중 오픈소스 코드의 평균적인 양이 76%를 기록했다. 상용 프로젝트가 오픈소스를 포함하는 비율은 96%에 달한다.

이에 제 상무는 SBOM 의무화를 통해 오픈소스를 더 세밀하게 관리해야 할 필요가 있다고 강조했다. 현재 시높시스는 SBOM 분석 및 오픈소스 위험 관리 솔루션인 '블랙 덕(Black Duck)' 솔루션을 공급하고 있다. 시높시스의 SBOM 분석 솔루션 블랙 덕은 의존성 분석, 코드 분석, 바이너리 분석 등을 통해 오픈소스를 식별하고 있다.

의존성 분석은 가장 쉽고 빠르긴 하지만, 오픈소스 코드를 가져다가 자사 코드에 넣고 쓰는 경우에는 분석이 쉽지 않다는 단점이 있다.

이에 파일에 대한 이름이나 크기 혹은 해시 값 등을 가지고 어떤 오픈소스가 쓰였는지를 확인하는 코드 분석 방식을 사용하기도 한다. 또 라이브러리 등을 가져다 쓰는 경우에는 라이브러리 혹은 펌웨어에 어떤 오픈소스가 쓰여 있는지 확인하기 위해 바이너리 분석을 활용하기도 한다.

제 상무는 "소프트웨어 공급망은 쇠사슬처럼 연결돼 있기 때문에 공급망에 있는 모든 회사가 사이버보안을 유지하기 위해 SBOM을 구체적으로 작성하고 살펴봐야 한다"라며 "향후 SBOM 생명주기나 관리방식 등도 구체화될 것으로 보인다"라고 설명했다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -