소프트웨어(SW) 공급망 보안의 핵심 도구로 떠오른 SW 자재명세서(SBOM) 안전성을 위해 기밀 컴퓨팅을 활용해야 한다는 제언이 나왔다. SW개발사가 SBOM 제공을 꺼려 활성화에 걸림돌이 될 수 있어서다.
강병훈 KAIST 전산학부 교수는 29일 한국인터넷진흥원(KISA) 서울청사에서 열린 '2024년도 제1차 SW 공급망 보안 포럼'에서 “SW개발사 입장에선 SBOM을 통해 보여주고 싶지 않은 구성요소가 공개될 수 있고 경쟁사에 도움을 줄 수 있다”면서 기밀 컴퓨팅에 기반한 SBOM 활용 방안을 제시했다.
강 교수는 “인텔 SGX, ARM 트러스트 존과 CCA 등 하드웨어 기반 기밀 컴퓨팅이 보편화됐다”면서 “관리자도 연산내용을 볼 수 없어 기밀성을 확보하는 게 핵심”이라고 말했다.
그러면서 그는 “공공의 데이터베이스(DB)를 기밀 컴퓨팅에 저장하고 기밀 컴퓨팅 내에서 SBOM으로 추출된 내용을 매칭해 필요 시 해당 개발자나 기업에 연락하는 시스템을 갖춘다면, SBOM을 가장 안전하게 활용할 수 있을 것”이라고 덧붙였다.
국가정보원이 제안한 NIS-SBOM도 소개됐다. 미국의 경우 전기통신정보청(NTIA)이 선정한 7개 항목을 SBOM 기본항목으로 권고했으며, 국내에선 단체표준으로 15개 항목이 선정됐다. 국정원은 △기본항목 간소화 △보안취약점 정보연동 △사이버 위협관리 효율성 향상 등을 목표로, NTIA 권고안과 국내 단체표준을 분석·선정하고 여기에 자체 항목 7개를 추가해 총 20개 항목으로 구성했다.
이만희 한남대 컴퓨터공학과 교수는 “NIS-SBOM을 통해 정부·공공기관에 도입되는 SW를 추적·관리할 수 있는 체계가 마련된다면 알려진 보안 취약점에 대한 더 빠르고 확실한 보안조치를 촉진할 것”이라며 “기본항목은 지속적인 는의와 실증을 통해 업데이트할 예정”이라고 말했다.
최윤성 고려대 소프트웨어 보안학과 교수는 SW 개발 인식 제고가 중요하다며 XZ유틸즈(XZ Utils) 사례를 들었다. 지난 4월 말 백도어가 발견된 XZ유틸즈는 리룩스 사용자들이 많이 사용하는 압축 유틸리티다. 마이크로소프트(MS) 개발자가 백도어를 최초로 발견했는데, 늦었더라면 수천만명의 사용자가 피해를 볼 수 있었다.
최 교수는 “MS 개발자가 XZ유틸즈 최신버전과 이전 버전의 차이 원인을 찾아보려고 했던 것이 (막대한 피해를 막는) 결과를 가져왔다”면서 “SW공급망 개발자가 보안·SW 개발에 대한 인식을 확산하는 게 굉장히 중요하다”고 말했다.
정부도 SW 개발자 인식 개선 등 'SW 개발 문화'로 SW공급망 보안 정책 방향성을 잡고 있다.
정은수 과기정통부 정보보호산업과장은 “SW공급망 보안은 기업의 연구·개발과 생산활동을 제약하는 규제 요소가 아니라고 생각한다”면서 “정부·공공기관과 기업이 SW 기획·개발 단계부터 SW 공급망 보안을 반영할 수 있도록 적극적인 지원을 이어 나가겠다”고 말했다.
조재학 기자 2jh@etnews.com
