강병훈 KAIST 교수, “SBOM 안전성 위해 기밀컴퓨팅 활용해야”

Photo Image
29일 한국인터넷진흥원(KISA) 서울청사에서 열린 '2024년도 제1차 SW 공급망 보안 포럼' 전경.

소프트웨어(SW) 공급망 보안의 핵심 도구로 떠오른 SW 자재명세서(SBOM) 안전성을 위해 기밀 컴퓨팅을 활용해야 한다는 제언이 나왔다. SW개발사가 SBOM 제공을 꺼려 활성화에 걸림돌이 될 수 있어서다.

강병훈 KAIST 전산학부 교수는 29일 한국인터넷진흥원(KISA) 서울청사에서 열린 '2024년도 제1차 SW 공급망 보안 포럼'에서 “SW개발사 입장에선 SBOM을 통해 보여주고 싶지 않은 구성요소가 공개될 수 있고 경쟁사에 도움을 줄 수 있다”면서 기밀 컴퓨팅에 기반한 SBOM 활용 방안을 제시했다.

강 교수는 “인텔 SGX, ARM 트러스트 존과 CCA 등 하드웨어 기반 기밀 컴퓨팅이 보편화됐다”면서 “관리자도 연산내용을 볼 수 없어 기밀성을 확보하는 게 핵심”이라고 말했다.

그러면서 그는 “공공의 데이터베이스(DB)를 기밀 컴퓨팅에 저장하고 기밀 컴퓨팅 내에서 SBOM으로 추출된 내용을 매칭해 필요 시 해당 개발자나 기업에 연락하는 시스템을 갖춘다면, SBOM을 가장 안전하게 활용할 수 있을 것”이라고 덧붙였다.

국가정보원이 제안한 NIS-SBOM도 소개됐다. 미국의 경우 전기통신정보청(NTIA)이 선정한 7개 항목을 SBOM 기본항목으로 권고했으며, 국내에선 단체표준으로 15개 항목이 선정됐다. 국정원은 △기본항목 간소화 △보안취약점 정보연동 △사이버 위협관리 효율성 향상 등을 목표로, NTIA 권고안과 국내 단체표준을 분석·선정하고 여기에 자체 항목 7개를 추가해 총 20개 항목으로 구성했다.

이만희 한남대 컴퓨터공학과 교수는 “NIS-SBOM을 통해 정부·공공기관에 도입되는 SW를 추적·관리할 수 있는 체계가 마련된다면 알려진 보안 취약점에 대한 더 빠르고 확실한 보안조치를 촉진할 것”이라며 “기본항목은 지속적인 는의와 실증을 통해 업데이트할 예정”이라고 말했다.

최윤성 고려대 소프트웨어 보안학과 교수는 SW 개발 인식 제고가 중요하다며 XZ유틸즈(XZ Utils) 사례를 들었다. 지난 4월 말 백도어가 발견된 XZ유틸즈는 리룩스 사용자들이 많이 사용하는 압축 유틸리티다. 마이크로소프트(MS) 개발자가 백도어를 최초로 발견했는데, 늦었더라면 수천만명의 사용자가 피해를 볼 수 있었다.

최 교수는 “MS 개발자가 XZ유틸즈 최신버전과 이전 버전의 차이 원인을 찾아보려고 했던 것이 (막대한 피해를 막는) 결과를 가져왔다”면서 “SW공급망 개발자가 보안·SW 개발에 대한 인식을 확산하는 게 굉장히 중요하다”고 말했다.

정부도 SW 개발자 인식 개선 등 'SW 개발 문화'로 SW공급망 보안 정책 방향성을 잡고 있다.

정은수 과기정통부 정보보호산업과장은 “SW공급망 보안은 기업의 연구·개발과 생산활동을 제약하는 규제 요소가 아니라고 생각한다”면서 “정부·공공기관과 기업이 SW 기획·개발 단계부터 SW 공급망 보안을 반영할 수 있도록 적극적인 지원을 이어 나가겠다”고 말했다.

조재학 기자 2jh@etnews.com