본문 바로가기

NEWS

“SW 공급망 보호, 리포지토리 방화벽부터 시작”

 

OSC가 공급하는 소나타입, ‘리포지토리 방화벽’으로 악성 패키지 유입 차단
SBOM 매니저·라이프사이클 관리 솔루션으로 안전한 SW 배포·운영 지원
OSC, 국내 기업 클라우드 네이티브 전환 돕는 전문성 제공

 

[데이터넷] 악명높은 공격그룹이 최근 오픈소스 생태계를 이용해 전 세계를 대상으로 소프트웨어 공급망 공격을 벌이고 있다. 다이아몬드 슬릿, 문스톤 슬릿, 제이드 슬릿 등으로 분류되는 북한 공격자는 공개 NPM 레지스트리에 악성 NPM 패키지를 게시하고 개발자들이 이를 내려받도록 해 멀웨어를 배포한다. 최근에는 이라크 기반 공격자들이 PyPI에 악성 파이썬 패키지를 업로드한 것이 발견됐는데, 이 패키지에는 텔레그램 채팅 봇으로 사용자 데이터를 유출하는 기능이 포함돼 있었다.

전 세계 오픈소스 공급망을 통해 매일 2~3만개의 오픈소스가 배포되기 때문에 공격에 이용되기 매우 쉽다. 소나타입 조사에 따르면 2022년에 발견된 악성패키지보다 2배 많은 악성 패키지가 지난해 발견됐다. 이러한 악성 패키지는 타이포스쿼팅, 의존성 혼동 등의 기법을 사용해 신뢰할 수 있는 패키지로 위장하고 개발자를 속인다.

김재천 OSC 대표이사는 “악성 패키지를 이용한 공급망 공격을 막기 위해 개발자에게 신뢰할 수 있는 소스를 이용하도록 권고하는데, 공격자는 신뢰도 높은 것으로 위장한 악성 패키지를 개발자가 다운로드하도록 유도하기 때문에 패키지 신뢰도만으로 공격을 막는 것은 불가능하다. 리포지토리에 악성 패키지가 저장되지 않도록 원천 차단하는 것이 가장 좋은 방법”이라고 설명했다.

오픈소스 라이선스와 보안 전문기업 소나타입(Sonatype)을 국내에 공급하는 OSC는 소나타입의 리포지토리 방화벽(Repository Firewall)이 공급망 공격 방어의 시작이라고 강조한다. 전 세계에서 가장 많은 사용자를 보유한 넥서스(Nexus)를 오픈소스와 프라이빗 버전으로 공급하는 소나타입은 넥서스에 추가되는 방화벽 기능을 제공, 알려진 위협요소가 있는 패키지가 리포지토리에 저장되는 것을 원천 차단한다. 경쟁제품에 비해 월등히 많은 취약점 데이터베이스와 AI 분석 기술을 이용해 취약한 오픈소스 다운로드를 막아 악성 패키지 이용 공격 96%를 차단한다.

 

OSC가 국내에 공급하는 소나타입의 ‘리포지토리 방화벽’



개발부터 운영까지 전 과정 보호 솔루션 제공


소프트웨어 공급망 공격은 알려진/알려지지 않은 취약점을 이용하며, 현재 운영중인 소프트웨어에서 발견되는 새로운 취약점도 이용한다. 로그4제이가 그 대표적인 예로, 매우 심각한 취약점과 함께 조치 방안이 공개됐지만, 조직은 해당 취약점의 영향을 받는 시스템이 무엇인지 파악하지 못해 취약점 공격에 노출됐다.

그래서 소프트웨어 자재 명세(SBOM)가 필요하다는 주장이 힘을 얻었으며, 미국은 공공기관 공급 소프트웨어의 SBOM 제출을 의무화했으며, 우리나라는 ‘소프트웨어 공급망 보안 가이드라인’을 통해 SBOM 작성과 운영을 안내하면서 SBOM 사용을 권장하고 있다.

그런데 개발 시점에 작성된 SBOM과 운영중에 식별되는 소프트웨어 구성요소 목록은 일치하지 않는다. 소프트웨어는 지속적으로 업데이트되며, 다른 소프트웨어와 결합되면서 추가 코드 삽입 혹은 변경이 일어난다. 따라서 SBOM은 소프트웨어 공급 시점부터 운영 과정 전반에서 지속적으로 관리되어야 한다.

이에 소나타입은 ‘SBOM 매니저’를 출시하고 소프트웨어 라이프사이클 전반에서 SBOM을 관리할 수 있게 한다. 더불어 소프트웨어 개발부터 배포, 운영 전반에서 위협 요소를 확인하고 정책을 관리하며, 취약점을 교정하는 ‘라이프사이클’ 제품도 제공, 안전한 소프트웨어 전략을 이행할 수 있게 한다.

김재천 대표는 “소프트웨어 공급망 공격은 어느 한 지점에서의 대응으로 해결되는 것이 아니다. 취약점은 소프트웨어 라이프사이클 전체에서 발생하거나 악용될 수 있기 때문에 지속적으로 검증하고 관리해야 한다”며 “소나타입은 이러한 이상에 가장 적합한 솔루션으로, 포춘 100개 기업 중 60곳에서 사용하고 있으며, 우리나라에서도 중요 금융사와 글로벌 제조사 다수에서 사용하고 있다”고 설명했다.

 

클라우드 네이티브 전환·운영 지원


한편 OSC는 기업·기관의 클라우드 네이티브 전환과 운영을 지원하는 전문기업으로, 클라우드 네이티브 설계와 구축 컨설팅을 제공하면서 수세, 소나타입 등 관련 솔루션을 공급한다. 우리나라에서도 클라우드 네이티브 전환에 속도가 붙기 시작하고 있어 성장 기회를 잡을 것으로 기대하고 있다.

김재천 대표는 “OSC의 클라우드 네이티브 전문 역량이나, OSC가 국내에 공급하는 솔루션은 경쟁사를 찾아볼 수 없을 정도로 독보적인 시장 장악력을 갖고 있다. 국내 고객이 안전하고 안정적으로 클라우드 네이티브 전략을 수행할 수 있도록 도우면서 성장 가속을 올릴 것”이라고 밝혔다.


김선애 기자 2024.07.21 12:50

출처 : 데이터넷 https://www.datanet.co.kr/news/articleView.html?idxno=195208