SW공급망 공격 - SBOM의 필요성

 

SBOM

 

 

 

 

SW 공급망의 보안 대비를 위해 최근 소프트웨어 자재명세서(SBOM) 솔루션이 강조되고 있다. SBOM은 소프트웨어에 포함된 세부 요소의 계층적 관계와 의존도 등을 보여 준다. 취약점 점검과 비용 절감 요소 등 세부 정보를 가시화한다. 사용한 오픈소스와 기타 구성 요소에 대한 취약점 대비를 애플리케이션 소프트웨어 단위로 파악하는 것이 아니라 세부 패키지·라이브러리 단위로 가시화, 위협에 대비한다. 사이버 하이진에서 강조하는 가시화가 중요한 이유는 소프트웨어 공급망의 복잡성으로 공급업체가 특정 시스템 및 자산은 물론 네트워크에 액세스하는 모든 장치 및 서비스에 대한 액세스 권한을 보유하고 있는지 명확하고 정확하게 파악하기 어렵기 때문이다. 조직은 포괄적 가시성을 확보함으로써 공급업체가 보안 위험 제거, 대처 등을 수행했는지 알아낼 수 있다. 공급망 보안에서 가시성을 지키는 사이버 하이진이 중요한 또 다른 이유는 '자산 환경과 접근 가능한 방법의 이해'와 관련이 있다. SBOM으로 자세한 소프트웨어 공급 구성 재료를 확보하는 것 자체가 가시화이며, 가시화는 사이버 하이진의 기본 요소다.대다수 기업은 공격을 받기 이전까지 공급망이 얼마나 취약한지 제대로 파악하지 못한다. 그러나 정확한 취약점 스캔 기능을 통해 해커가 악용할 수 있는 잘못된 구성, 열악한 액세스 정책 및 제품 약점 같은 기본적인 보안 문제를 식별하고, 수정할 수 있다.침투 테스트는 공격을 시뮬레이션해서 시스템의 취약점을 발견하고 악용함으로써 데이터가 얼마나 쉽게 도용되는지 확인하는 데 도움이 된다. 공급망 문제는 수요와 공급 불균형에서 유발되는 복잡한 문제이기 때문에 쉽게 해결할 수 없는 명제다. 하지만 SW 공급망 문제는 취약점 가시성 확보와 실제에 가까운 시뮬레이션을 통해 선제적 대응체계를 구축한다면 충분히 막아낼 수 있을 뿐만 아니라 다른 위협까지 효과적으로 대응할 수 있게 할 것이다.

남인우 태니엄코리아 전무
[전자신문 제공]