UPDATED. 2022-12-09 19:57 (금)
ICT 산업계, 보안 강화 위해 자재명세서 솔루션 '주목'
ICT 산업계, 보안 강화 위해 자재명세서 솔루션 '주목'
  • 박광하 기자
  • 승인 2022.07.25 20:22
  • 댓글 0
이 기사를 공유합니다

SBOM 내보내기 기능, 관리 편의성 제고
펌웨어 분석해 HW·SW 구성요소 추출·분석
SBOM 자동생성 기술로 공급망 보안 확보

[정보통신신문=박광하기자]

최근 정보통신기술(ICT) 관련 하드웨어·소프트웨어(HW·SW) 제품 개발 과정에서 자재명세서(BOM)에 대한 관심이 높아지고 있다. 제품에 적용된 구성요소를 파악해두면, 해당 부분에서 보안 취약점이 발견됐을 때 빠르게 대응할 수 있기 때문이다. 특히, ICT 솔루션 개발에서 오픈소스 SW 사용이 증가함에 따라, 제품에 적용된 구성요소를 확인하기 위해 BOM 추출·분석 솔루션 도입이 늘고 있다. 아울러, BOM 관련 기술 연구개발(R&D)도 활발하게 이뤄지고 있다.

 

[자료=스패로우]
[자료=스패로우]

■스패로우 SCA, SBOM 내보내기 기능 적용

스패로우(대표 장일수)는 오픈소스 라이선스 식별 및 보안 취약점 관리 도구인 '스패로우 SCA(Sparrow SCA)'에 소프트웨어 자재명세서(SBOM, Software Bill of Materials) 내보내기 기능을 적용했다고 최근 밝혔다.

스패로우는 이를 통해 손쉽게 소프트웨어(SW) 구성요소를 파악할 수 있도록 적극 지원해 SW 공급망 보안을 강화한다는 방침이다.

스패로우가 제공하는 SBOM은 유통되는 식품에 사용된 구성성분을 표시하는 식품원재료표와 유사한 개념으로, SW를 구성하는 요소를 정리한 목록이다.

최근 'Log4j'와 'Spring4Shell' 등에서의 보안 취약점이 발견되면서 전 세계적으로 보안 위협 문제가 대두하고 있다.

이에 따라, 사용 중인 오픈소스의 출처를 쉽고 간편하게 확인할 수 있는 SBOM 기능이 각광받고 있다.

특히 미국 바이든 행정부가 작년 5월 발표한 행정명령에서 SBOM 도입 의무화를 명시한 바 있으며, 미국 뿐 아니라 글로벌 선도 기업 및 기관들 또한 SBOM을 도입해 SW 공급망 취약점으로 인한 보안 위협을 최소화하고 있다.

사용자는 오픈소스 관리 도구인 스패로우 SCA로 파일을 분석한 후에 SBOM 내보내기 버튼을 클릭하기만 하면 컴포넌트 명칭과 버전 정보, 공급자 명칭 등을 한눈에 확인할 수 있다.

SW 공급망 위험에 대한 가시성을 확보함으로써 라이선스 관리는 물론 보안 취약점 발견 시 신속한 업데이트가 가능하다.

장일수 스패로우 대표는 "애플리케이션 보안 테스팅 시장에서 10년 이상 축적된 보안 취약점 검출 기술력과 노하우를 이제 오픈소스 분야에도 적용해 국내외 기업들의 공급망 위험을 해결하고자 노력하고 있다"며 "SBOM 기능이 적용된 스패로우 SCA를 활용함으로써 SW 개발 과정에서 뿐 아니라 배포 이후에도 복잡다단한 공급망 내에서 보안을 지속적으로 관리할 수 있을 것"이라고 말했다.

한편 스패로우 SCA는 소스코드나 바이너리에 포함된 오픈소스를 진단해 라이선스 관련 정보 및 발견된 취약점 정보를 제공하는 오픈소스 관리 솔루션으로 한국정보통신기술협회(TTA)로부터 GS 인증을 받았다.

이 밖에도, '2022년 ICT 중소기업 정보보호 지원사업'을 통해 스패로우 SCA 제공하고 있어 보안 예산이 적은 중소기업에서는 정부지원금 혜택을 통해 보다 합리적인 비용으로 도입 가능하다.

 

펌웨어 기반 BOM 분석 및 취약점 점검 구성. [자료=쿤텍]
펌웨어 기반 BOM 분석 및 취약점 점검 구성. [자료=쿤텍]

■쿤텍-ETRI, 펌웨어 분석 기반 BOM 추출·분석 개발

융합 보안 선도 기업 쿤텍(대표 방혁준)은 한국전자통신연구원(ETRI)와 함께 HW 공급망 보안 강화를 위해 기존의 펌웨어 분석 기술을 기반으로 BOM 추출 및 분석, 취약점 자동 탐지 기술을 추가 개발한다고 밝혔다.

기술 구현을 위해 구성되는 HW가 복잡해지고 각 HW 개발에 관여하는 공급업체가 증가하면서 공급망 전반의 보안 검증이 중요해졌다. 특히 TCP/IP SW 라이브러리에 내재돼 있는 것으로 알려진 취약점인 리플20(Ripple20)과 같은 알려진 취약점(1-Day)의 경우 복잡한 공급망을 통해 다양한 산업 분야에서 광범위하게 악용될 수 있다. 하지만 이러한 취약점의 영향을 받는 자산을 식별하는 것은 쉽지 않다.

다양한 유형의 취약점에 대한 정보를 빠르게 분석하고 SW의 각 구성요소와 복잡한 계층 관계를 갖는 오픈소스에 대한 취약점을 제대로 관리하기 위해서는 HW·SW의 구성 요소 목록인 BOM 분석을 기반으로 취약점을 자동 점검할 수 있어야 한다.

이에 쿤텍은 HW에 내재된 취약점을 분석해 5G 장비 보안을 강화할 수 있는 기존의 펌웨어 분석 기술을 고도화해 HW에 대한 BoM 식별 및 분석 기능을 강화하고, CVE 취약점을 자동 탐지할 수 있는 분석 기술을 추가로 결합해 CBOM(Cybersecurity Bill of Materials) 분석에 대한 HW 공급망 보안을 강화할 계획이다. 이를 통해 제로데이(0-Day) 취약점과 원데이(1-Day) 취약점을 탐지해 공급망을 위협하는 다양한 취약점을 신속하고 정확하게 점검할 수 있어 광범위한 사이버 공격으로 인한 피해 확산을 사전 차단할 수 있다.

쿤텍이 공급망 보안 강화를 위해 새롭게 개발한 취약점 탐지 자동화 도구는 HW 펌웨어를 기반으로 BOM을 검출할 수 있도록 설계돼 소스코드 없이도 다양한 바이너리 SW, OS, 플랫폼에 맞춰 보안 취약점을 분석할 수 있다.

또한, 오픈소스의 구성 요소와 관련된 정보를 자동 수집하고 미국 국립표준기술연구소(NIST, National Institute of Standards and Technology)와의 API 연동 기능을 제공해 실시간으로 게시되는 취약점 정보를 확인 및 분석할 수 있다. 공급업체에서 제공하는 SW에 대한 일회성 보안 점검이 아닌 지속적인 모니터링을 통한 취약점 통합 관리 역시 가능하다.

공동연구기관인 ETRI의 최병철 실장은 "기존의 펌웨어 분석 기술로는 전체 HW에 대한 공급망 분석 및 취약점 점검 지원이 부족했다. 이에 올해 쿤텍과 ETRI는 HW 펌웨어에서 BOM을 추출하고 식별해 심층 분석할 수 있는 기술과 취약점 자동화 탐지 기술을 추가적으로 개발해 기존의 펌웨어 분석 기술을 보완했다"고 말했다.

그는 이어 "이번 추가 기술 개발을 통해 HW BOM에 대한 지속적인 모니터링을 수행할 수 있어 끊임없이 변화하는 보안 위협에 대한 대응력을 높여 HW 뿐만 아니라 SW 공급망의 보안 경쟁력을 확보할 수 있을 것"이라며 기대감을 드러냈다.

 

고려대 CSSA가 'SW공급망 보안을 위한 SBOM 자동생성 및 무결성 검증기술 개발' 과제에 선정돼 연구를 진행한다. [사진=고려대]
고려대 CSSA가 'SW공급망 보안을 위한 SBOM 자동생성 및 무결성 검증기술 개발' 과제에 선정돼 연구를 진행한다. [사진=고려대]

■고려대 CSSA, SBOM 자동생성 기술 개발

고려대학교 소프트웨어보안연구소(CSSA, 소장 이희조)는 과학기술정보통신부 및 정보통신기획평가원이 지원하는 'SW공급망 보안을 위한 SBOM 자동생성 및 무결성 검증기술 개발' 과제에 선정돼 2022년부터 2025년까지 연구를 진행한다.

SBOM는 SW 패키지 및 구성 요소 등 고유하게 식별 가능한 형식으로 기계가 읽을 수 있는 메타데이터, 저작권 및 라이선스 등 SW 콘텐츠에 대한 기타 정보들을 포함하고 있다. 이 같은 특징을 갖고 있는 SBOM을 활용하면 SW의 보안 취약점, 출처 및 계보, 라이선스 의무 등의 요구사항을 효과적으로 해결 가능하므로 대부분의 조직이 모든 SW 구성요소에 대한 SBOM을 확인하는 데 관심이 있다.

출처를 파악해두지 않은 오픈소스들을 거듭 수정해 활용한다면, 보안사고가 발발해도 어디가 어떤 문제인지 모르니 발 빠른 대처가 어렵다. 작년 연말을 휩쓴 Log4j 사태는 SBOM 필요성을 증명한 대표적 예시다.

미국에서는 SBOM 제출이 이미 의무화됐다.

2021년 5월, 미국 바이든 행정부는 행정명령을 통해 연방기관에 납품하는 SW 제품에 대해 SBOM 제출을 의무화했고, 미 식품의약국(FDA)은 2022년 4월 발표한 'Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions' 지침 초안에서 의료기기에 내장된 SW에 대해 SBOM 제출을 명시했다. 구글은 오픈소스 프로젝트 유지관리 지원 전담조직을 신설했다. 국내 수출 기업의 경우 대응방안 모색이 시급한 시점이다.

고려대 CSSA는 이 같은 세계 흐름에 발맞춰 SBOM 공급망 보안을 위한 기술개발에 나서게 됐다고 설명했다.

고려대 CSSA는 과거 'IoT SW 보안 취약점 자동 분석 기술 개발 과제(2015-2018)', '블록체인 플랫폼 보안취약점 자동분석 기술 개발 과제(2019-2022)'를 수행하며 국내 보안산업 발전에 기여해왔다. 연구소는 기존 연구를 토대로 수정된 오픈소스까지 분석하는 기술, 다양한 언어의 소스코드 취약점을 분석하면서도 정확도를 강화하는 기술 등에 도전할 계획이다.

고려대는 우수 기술 연구뿐 아니라 누구나 활용할 수 있는 SBOM 오픈 플랫폼을 구축하고, 산업 내 실증까지 진행해 국내 SBOM 기술개발의 초석을 다질 예정이다. 2016년 런칭한 IoTcube 플랫폼은 현재까지 2만6000명의 누적 사용자, 99만건의 취약코드 발견을 기록했으며, 이번 연구를 통해 SBOM 자료생성 및 보안취약점 분석 기능을 도입할 계획이다.

고려대 CSSA 소장을 겸하고 있는 이희조 컴퓨터학과 교수는 "국내에서도 본격적으로 SBOM 연구를 진행할 기회가 만들어졌음에 감사하다"며 "디지털 전환이 급격히 진행되고 있는 다양한 산업분야에서 SBOM 관리를 통해 공급망 투명성 확보와 보안 강화, 나아가 국내 산업의 국제 경쟁력 확보에 기여할 수 있도록 노력하겠다"고 소감을 밝혔다.


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.

  • [인터넷 신문 등록 사항] 명칭 : ㈜한국정보통신신문사
  • 등록번호 : 서울 아04447
  • 등록일자 : 2017-04-06
  • 제호 : 정보통신신문
  • 대표이사·발행인 : 문창수
  • 편집인 : 이민규
  • 편집국장 : 박남수
  • 서울특별시 용산구 한강대로 308 (한국정보통신공사협회) 정보통신신문사
  • 발행일자 : 2022-12-09
  • 대표전화 : 02-597-8140
  • 팩스 : 02-597-8223
  • 청소년보호책임자 : 이민규
  • 사업자등록번호 : 214-86-71864
  • 통신판매업등록번호 : 제 2019-서울용산-0472호
  • 정보통신신문의 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재·복사·배포 등을 금합니다.
  • Copyright © 2011-2022 정보통신신문. All rights reserved. mail to webmaster@koit.co.kr
인터넷신문위원회 abc협회 인증 ND소프트