구글, “취약점이 소프트웨어 물자의 이름을 불러 주었을 때 꽃이 된다”

소프트웨어 공급망을 보호하려는 미국 여러 기관들의 움직임에 힘이 실리고 있다. 하지만 구글이 여기에 한 마디를 보탰다. 소프트웨어 물자표만으로는 큰 소용이 없다는 것이다. 취약점 정보와 연결되어야 비로소 의미가 생긴다는 게 그들의 주장이다.

[보안뉴스 문가용 기자] 소프트웨어 재료표(Software Bills of Materials, SBOMs)라는 개념을 도입하려는 움직임이 빠르게 일어나고 있다. 특히 미국의 NIST가 이 제도를 강력하게 지지하고 있으며, 입법 기관에서도 이 움직임에 긍정적이다. 미국 백악관이 공급망 공격에 대한 방어 체계 강화를 명령했기 때문에 SBOM이라는 것에 자연스럽게 생각이 도달한 것이다.

[이미지 = utoimage]

소프트웨어 재료표, 즉 SBOM이라는 것은 소프트웨어를 구성하는 모든 서브코드, 라이브러리, 오픈소스 요소들을 공개하여 누군가 소프트웨어를 사용할 때 그 구성 요소들도 전부 열람할 수 있게 하는 것이다. 마치 식품 위생 안전법에 근거하여 식재료를 소비자들에게 공개하는 것과 비슷하다. 이렇게 해서 소프트웨어에 악성 요소가 섞이고 퍼져가는 걸 억제하겠다는 것이 SBOM의 중심 개념이다.

그런데 구글의 오픈소스보안팀(Open Source Security Team)이 오늘 블로그를 통해 “SBOM만 사용해서는 원하는 효과를 거두기 힘들다”고 주장하고 나섰다. 정확히는 특정 소프트웨어가 위험에 얼마나 노출되어 있는지 확인하기 위한 도구로서 SBOM은 그렇게 강력하지 못하다는 내용이다. SBOM의 정보와 더불어 취약점 데이터베이스와의 비교 분석 자료가 함께 있어야 한다고 구글의 전문가들은 주장했다.

“이 두 가지 정보를 비교하고 연결함으로써 소비자들은 소프트웨어 안에 정확히 어떤 것이 내포되어 있는지를 알 수 있게 됩니다. 구성 요소들만이 아니라 취약한 요소들, 그리고 관련된 위험성까지 모두를 말이죠. 또한 이를 바탕으로 소프트웨어를 구매해도 되는지, 구매해서 고쳐 쓸 만한지도 전부 판단할 수 있게 됩니다.”

구글의 분석가들은 오픈소스취약점(OSV) 데이터베이스를 활용함으로써 한 큐버네티스 SBOM 문건을 보강할 수 있었다고 설명하며, 그 과정을 상세히 공개하기도 했다. 이들은 블로그를 통해 “오픈소스취약점 데이터베이스는 깃허브 어드바이저리 데이터베이스(Github Advisory Database, GHSA), 글로벌 시큐리티 데이터베이스(Global Security Database, GSD)을 비롯해 다양한 생태계에서 사용되는 데이터베이스를 상호 비교 활용할 수 있도록 하는 표준 포맷을 제공한다”고도 설명했다.

“저희는 누구나 쉽게 활용할 수 있는 OSV 데이터베이스를 사용해 SBOM 데이터에 나온 구성 요소들의 취약점을 찾아낼 수 있었습니다. 하지만 다른 유형의 취약점 데이터베이스도 얼마든지 활용이 가능하며, 앞으로 SBOM이 보편화 될 수록 다른 데이터베이스들도 SBOM과 연결하는 작업을 원활히 할 수 있도록 구조를 바꿀 것으로 예상합니다. 특히 VEX와 같은 새로운 표준들에 대한 기대가 큽니다.”

보안 담당자들이 SBOM을 보다 정확히 활용함으로써 기업이 마주하고 있는 리스크 요인을 선명하게 이해하려면 어떻게 해야 할까? 구글의 전문가들은 “SBOM을 만드는 사람들이 Purl URL과 같은 표준 명명 규칙을 사용하여 참고자료까지 SBOM 내에 포함시켜야 한다”고 강조한다. “그렇게 하지 않으면 소프트웨어 구성표 그 자체로 아무런 의미가 없게 됩니다. 그 구성 요소들을 취약점 데이터베이스와 연결하여 추적할 수 있도록 해야 합니다.”

구글은 “소프트웨어 구성 요소들과 공개된 취약점 정보를 연결시켜주는 작업이야 말로 SBOM을 도입하는 궁극적 목적을 달성하게 되는 길”임을 강조했다. “이제 SBOM이 필요하다는 것 자체에 대해서는 많은 이들이 동의하게 되었습니다. 하지만 이러한 제도의 도입 자체가 우리의 궁극적 목적이 될 수는 없습니다. 우리의 궁극적 목적은 소프트웨어 공급망을 안전하게 관리하는 것이기 때문입니다. 구성 요소들의 이름이 쭉 열거된 표만 가지고는 이러한 목적을 달성하기가 어렵습니다. 그 이름들에 의미를 부여하는 것까지 해야 합니다.”

3줄 요약
1. 구글의 오픈소스 보안 전문가들, 소프트웨어 물자표 제도에 대해 한 마디 던짐.
2. 물자표를 공유하는 것 자체는 좋은 생각이나, 물자표만 가지고는 큰 도움이 될 수 없다고 주장.
3. 물자표를 취약점 정보와 연결시켜야 소프트웨어 공급망을 보다 효과적으로 보호할 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)