“Shift Left를 넘어 Start Left”…개발 첫 순간부터 보안을 ‘기본값’으로
- 길민권 기자 | 2025.11.02 13:32
국내 최대 인공지능 보안 컨퍼런스 ‘AIS 2025(Artificial Intelligence Security Conference 2025)’가 10월 28일 서울 역삼동 한국과학기술회관 국제회의실에서 열렸다. 공공·금융·기업 보안담당자 600여 명이 참석한 가운데, 오에스씨코리아(OSC Korea) 인재홍 상무(CTO)는 ‘제로(Zero) CVE 시대를 열다: Cloud & AI Native 환경을 위한 궁극의 소프트웨어 공급망 보안 전략’을 주제로, 오픈소스 의존이 커진 AI·클라우드 네이티브 환경에서 실질적으로 CVE를 ‘0’에 가깝게 만드는 접근법을 공개했다.
■“CVE 쌓이는 속도가 패치 속도를 앞지른다”
발표는 오픈소스 채택이 혁신의 속도와 동시에 사업·평판 리스크를 키우고 있다는 현실 진단으로 시작됐다. 실제로 CVE는 매년 기하급수적으로 늘고 있으며, 상류(업스트림) 유지관리자가 모든 취약점을 따라잡기 어려운 구조라는 점을 짚었다. 기업 입장에서는 규제 준수 부담과 반복적인 패치·검증 비용이 쌓여 개발 생산성이 저하되고, 비즈니스 성과에 투입해야 할 엔지니어링 리소스가 소모된다는 문제를 강조했다.
■“패치의 무한 루프에서 벗어나려면, ‘이미지’부터 바꿔야”
인 상무는 기존 취약점 관리 체계의 한계를 ‘배포판 업데이트 지연’, ‘제로데이 노출’, ‘공급망을 통한 악성 패키지 확산’, ‘공개 이미지의 표준화 부족’으로 정리했다. 그리고 대응의 축을 컨테이너 베이스 이미지로 옮겨, 소스에서 직접 빌드하고 최소 구성으로 경량화한 ‘제로 CVE 이미지’를 채택하는 전략을 제시했다. 그 핵심 예로 체인가드(Chainguard)의 ‘울피(Wolfi)’ 기반 이미지를 소개하며, 컨테이너 동작에 필요한 최소 패키지만 담은 경량 리눅스 배포판(미(非)배포판·Undistro) 철학과 apk 기반 패키지, melange·apko 도구 체계, 자동 SBOM 생성 등 구성요소를 설명했다.
■“소스부터 매일 다시 빌드”…제로 CVE를 지탱하는 공정
그는 제로 CVE 이미지를 단순 ‘스캔-패치’가 아닌 공급망 전 구간의 재설계로 봐야 한다고 강조했다. 운영체제(OS)·툴체인·라이브러리·애플리케이션까지 의존성 트리 전체를 통제하고, 모든 패키지를 소스에서 매일(Daily) 재빌드하는 체계를 통해 출처(Provenance)와 무결성을 보장한다는 설명이다. 자동화된 빌드 파이프라인은 소스 코드 변경과 CVE 공지를 감지해 버전 업그레이드와 리빌드를 트리거하고, 그 결과물에는 SBOM·서명·어테스테이션이 붙는다. 취약점에 대해서는 중요도(Critical) 7일, 높음/중간/낮음 14일 수준의 대응 SLA를 제시해, ‘스캐너가 잡아내는 속도’와 ‘이미지의 수정·재배포 속도’를 일치시키는 운영 원칙을 강조했다.
현장에서는 표준 이미지와 제로 CVE 이미지를 비교한 사례도 제시됐다. 일반적으로 개발이 시작되기도 전에 수십~수백 개 CVE를 안고 출발하는 표준 이미지와 달리, 제로 CVE 이미지는 공격 표면을 최소화해 스캔 결과가 ‘Near Zero’에 가깝게 유지된다는 설명이다. 발표 자료에는 파이썬·JDK·Go·노드·.NET SDK 등 인기 런타임을 예로 든 비교 테이블과, 1,700개 이상의 이미지를 매일 리빌드해 제공하는 운영 현황이 소개됐다. 국내 기업을 대상으로 표준 이미지 52쌍을 제로 CVE 이미지로 대체했을 때 전체 CVE의 97.2%를 감소시키고 3,000개가 넘는 취약점을 제거했다는 분석 요약도 공개됐다.
■“클라우드·AI 워크로드 특성 반영”…FIPS·STIG·GPU 이미지까
제로 CVE 이미지는 범용 베이스 이미지 외에도 정부·금융 규제 대응을 위한 FIPS 암호 모듈 준수, OS 레벨 STIG 적용, SLSA 레벨2 인증, 커스텀 패키지 조합(Private APK Repository) 등으로 확장된다고 소개했다. 특히 GPU 기반 ML 워크로드를 위한 AI 이미지 라인업을 별도로 갖추고 있어, 데이터센터에서 모델 훈련·추론을 수행하는 조직에도 실전 적용이 가능하다고 강조했다.
인 상무는 간단한 이미지 분류(문어·고래·펭귄) 모델을 파인튜닝한 PyTorch 데모를 통해, 동일한 워크로드를 공식 이미지와 제로 CVE 이미지로 각각 빌드했을 때 취약점 수가 어떻게 달라지는지 실측하는 시나리오를 소개했다. 모델 파일(.pt)을 포함한 애플리케이션 이미지를 비교 스캔해 결과 차이를 보여주며, 개발팀이 ‘보안으로 인한 개발 속도 저하’ 없이도 안전한 이미지를 빠르게 확보해 배포까지 이어갈 수 있다고 설명했다.
■“Shift Left를 넘어 Start Left”…개발 첫 순간부터 보안을 ‘기본값’으로
그는 ‘Shift Left’ 슬로건을 한 단계 더 밀어붙인 ‘Start Left’ 개념을 제시했다. 코드 작성 이전, 이미지 선택 단계에서부터 최소·경량·서명·증명 가능한 아티팩트를 기본값으로 채택하면, 이후 CI/CD와 운영 전 과정에서 스캐너 경보·패치 반복·재검증 같은 ‘CVE 둠 사이클’을 구조적으로 줄일 수 있다는 논지다. 결과적으로 엔지니어는 취약점 처리 대신 핵심 기능 개발과 서비스 개선에 더 많은 시간을 투입할 수 있다고 강조했다.
발표 말미에는 국내 기업의 도입 여정이 간단히 공유됐다. 먼저 조직이 사용하는 주요 오픈소스/클라우드 네이티브 컴포넌트(예: NGINX, Redis, PostgreSQL, Kubernetes 구성요소, 관측성 스택 등)의 대상 이미지를 선별하고, 보안 하드닝된 제로 CVE 이미지로 레지스트리를 동기화한다. 이후 실제 환경에서 취약점 감소 효과를 수치로 검증해 범위를 넓혀가는 방식이다. 발표 자료에는 아르고CD·코어DNS·인그레스 컨트롤러·프로메테우스 오퍼레이터 등 국내 사례에서 동기화된 이미지 목록이 제시됐다.
AI와 클라우드 네이티브 전환이 가속화된 올해, “패치·검증의 끝없는 반복”을 끊는 해법으로 소스에서 매일 다시 빌드되는 최소 이미지라는 선택지가 현장에 무게감 있게 전달됐다.
인재홍 상무는 “스캐너 지표를 낮추는 요령”이 아니라, 공급망 전 구간을 재구성하는 운영 체계를 통해 제로 CVE에 수렴하는 결과를 만들 수 있음을 사례와 데모로 설득했다. 규제 준수와 개발 생산성, 두 마리 토끼를 잡아야 하는 보안팀·플랫폼팀에게 ‘이미지부터 바꾸는’ 전략은 곧바로 적용 가능한 실행안으로 받아들여졌다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
출처 : 데일리시큐 https://www.dailysecu.com/news/articleView.html?idxno=201963
