“SBOM 통해 SW 개발·배포 단계부터 모든 구성 요소의 안전성 확인·기록함으로써 공급망 공격에 대비해야”
데일리시큐가 주최하고 과학기술정보통신부, 개인정보보호위원회, 한국인터넷진흥원, 한국정보보호산업협회가 후원하는 하반기 최대 사이버보안 컨퍼런스 및 전시회인 PASCON 2024가 9월 10일 1,200여 명의 공공, 금융, 기업 정보보호 실무자들이 참석한 가운데 성황리 개최됐다.
이날 강연에서 스패로우 윤종원 수석연구원은 "SBOM 중심의 공급망 보안 강화 방안"을 주제로 강연을 진행했다. 이번 강연은 최근 급증하고 있는 소프트웨어 공급망 공격에 대비하기 위해 SBOM(Software Bill of Materials)이 어떻게 활용될 수 있는지, 그리고 이를 통한 공급망 보안의 중요성과 필요성에 대해 상세하게 다루었다.
윤종원 수석은 먼저 소프트웨어 공급망 공격의 심각성에 대해 언급했다. 소프트웨어 공급망은 제조사, 개발자, 배포 시스템, 그리고 소비자에 이르는 단계마다 다양한 요소로 구성되어 있다. 이 과정에서 공격자는 신뢰의 벽을 노려 소스코드나 바이너리에 악성코드를 삽입하는 방식으로 공격을 시도한다. 실제로 최근 일어난 솔라윈즈(SolarWinds) 해킹, 미국 동부 송유관 파이프라인 공격 등 여러 사건들은 소프트웨어 공급망 공격의 파괴적인 결과를 보여주었다. 이러한 공격은 공급자와 수요자 간의 신뢰를 이용하는 특징을 지니고 있기 때문에 일반적인 보안 시스템으로는 대응이 어렵다.
◆공급망 보안과 SBOM
공급망 공격에 효과적으로 대응하기 위해 윤종원 수석은 "투명성과 추적성"을 확보할 필요가 있다고 강조했다. 이를 위한 대표적인 수단이 바로 ‘SBOM’이다. SBOM은 소프트웨어가 어떤 컴포넌트로 구성되어 있는지, 사용된 오픈소스와 라이선스 정보, 취약점 등에 대한 상세한 정보를 제공하는 일종의 목록이다. 이는 2021년 바이든 행정부가 사이버보안 행정명령에서 소프트웨어 공급망 보안 강화를 위해 제시한 핵심 요소로, 소프트웨어에 포함된 모든 요소를 투명하게 관리할 수 있도록 한다. SBOM을 통해 소프트웨어 개발 및 배포 단계에서부터 모든 구성 요소의 안전성을 확인하고 기록함으로써 공급망 공격에 대비할 수 있다.
윤종원 수석은 SBOM을 활용하는 구체적인 방법을 설명하며 그 효과에 대해 강조했다. 일반적으로 공급망 공격에 대응하기 위해서는 각 컴포넌트의 버전, 라이선스 정보, 취약점 등을 일일이 확인해야 한다. 그러나 SBOM을 활용하면 이러한 정보를 자동으로 생성하고 확인할 수 있어, 복잡하고 기하급수적으로 증가하는 확인 과정을 단순화할 수 있다. 특히 SBOM은 기계가 처리할 수 있는 형태로 배포되기 때문에 자동화 도구를 활용해 취약점 목록을 효과적으로 관리할 수 있다.
SBOM은 SPDX나 CycloneDX와 같은 표준 형식으로 작성되며, 이를 통해 소프트웨어의 투명성과 추적성이 보장된다. 또한, DevSecOps 파이프라인과 연계하여 소프트웨어 개발 초기 단계부터 SBOM을 자동으로 생성하고 포함된 컴포넌트의 취약점을 사전에 확인함으로써 보안성을 한층 높일 수 있다.
◆스패로우의 공급망 보안 위협 대응 전략
스패로우는 SBOM을 기반으로 한 공급망 보안 솔루션을 제공하며, 이를 통해 기업들이 보다 체계적으로 공급망 공격에 대비할 수 있도록 지원한다. 특히 SBOM 자동 생성 및 배포 기능을 통해 소프트웨어 개발 및 배포 단계에서부터 지속적인 투명성과 추적성을 확보할 수 있다. 이를 통해 사용 중인 오픈소스 및 종속 관계에 있는 라이브러리의 취약점을 신속하게 파악하고 대응할 수 있게 된다.
윤종원 수석은 "SBOM의 지속적인 생성과 관리는 이제 선택이 아닌 필수"라고 강조하며, 이를 통한 공급망 보안 강화가 기업들의 보안 체계 구축에 핵심적인 요소가 될 것이라고 언급했다.
윤 수석은 끝으로 "투명성과 추적성을 확보하는 것이 공급망 공격에 대비하는 가장 효과적인 방법이며, SBOM은 이를 위한 최적의 수단"이라고 재차 강조했다. 그리고 참석자들에게 앞으로도 공급망 보안에 대한 관심과 노력을 지속해 줄 것을 당부했다.
이번 강연을 통해 참관객들은 SBOM의 중요성과 이를 활용한 공급망 보안의 강화 방안에 대한 이해를 높일 수 있었다.
보다 상세한 내용은 아래 강연영상을 참고하면 되고 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★
![[PASCON 2024-영상] 윤영 익스웨어랩스 대표, OSINT 활용한 공공기관 공급망 위협 정보 공개](https://www.dailysecu.com/news/photo/202409/159542_187012_442.jpg)
![[PASCON 2024-영상] 펜타린크 “차세대 시스템접근제어 아크라포인트, 차별화된 제로 트러스트 보안 환경 구축”](https://www.dailysecu.com/news/photo/202409/159509_186952_249.jpg)
![[PASCON 2024-영상] 카스퍼스키 강민석 이사, 위협 인텔리전스의 핵심 역할 제시](https://www.dailysecu.com/news/photo/202409/159511_186957_5453.jpg)
![[PASCON 2024] S2W 김재기 이사 “파트너십으로 확장된 공격표면, 대응 방안은?”](https://www.dailysecu.com/news/photo/202409/159540_187010_440.jpg)
![[PASCON 2024-영상] 파수, 끊임없이 변화하는 데이터 관리 환경서 DSPM의 중요성 강조](https://www.dailysecu.com/news/photo/202409/159519_186972_60.jpg)
![[PASCON 2024-영상] SGA솔루션즈 “클라우드 네이티브 컨테이너 플랫폼 보안 위협 대비해야"](https://www.dailysecu.com/news/photo/202409/159534_186996_3859.jpg)
![[PASCON 2024-영상] 탈레스 “양자 공격 대비 양자 내성 암호(PQC)로 전환 서둘러야”](https://www.dailysecu.com/news/photo/202409/159539_187007_219.jpg)
![[PASCON 2024-영상] 세일포인트 김환일 부장 "AI 기반 아이덴티티 보안, 제로트러스트 구현 필수 요소"](https://www.dailysecu.com/news/photo/202409/159530_186988_5512.jpg)
![[PASCON 2024-영상] 라온시큐어, 디지털 인증의 미래 비전 제시…”OmniOne, 디지털 신원 관리 미래 선도”](https://www.dailysecu.com/news/photo/202409/159506_186946_5949.jpg)