Home > 전체기사

구글이 내놓은 살사 소스, 소프트웨어 공급망에서의 부족한 맛 보완할까

  |  입력 : 2021-06-18 11:59
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
솔라윈즈와 코드코브 사태 등 거대한 공급망 공격으로 시작한 2021년, 결국 구글이 팔을 걷어붙였다. 그리고 내부 감사 프로그램을 응용해 ‘살사’라는 공급망 보호 프레임워크를 발표했다. 앞으로 소프트웨어 구성 요소들에 등급을 매겨 관리하겠다고 한다.

[보안뉴스 문가용 기자] 구글이 이번 주 소프트웨어 공급망을 보호하기 위한 새로운 프레임워크를 발표했다. 이름은 SLSA이며, ‘살사’로 발음한다. ‘살사’는 ‘소프트웨어 구성 요소들을 위한 공급망 등급(Supply Chain Levels for Software Artifacts)’의 준말이다. 공급망 공격의 가능성을 줄이겠다는 게 구글의 목적이다.

[이미지 = utoimage]


현대의 소프트웨어들은 예전처럼 빈 문서에 각종 프로그래밍 언어를 적어가는 방식으로 이뤄지지 않는다. 2000년대 초반만 해도 윈도 기본 프로그램 중 하나인 메모장에 코드를 한 줄 한 줄 작성해(이러한 행위를 코딩이라고 한다) 컴파일링 했었지만, 요즘은 ‘노코드(no-code)’라는 것이 유행할 정도로 시대가 변했다. 레고를 만들 듯 각종 요소들을 가져다가 ‘조립’하는 것이 가능해졌기 때문이다.

프로그래밍이 쉬워진 대신 소프트웨어 ‘공급망’이라는 것이 생겨났다. 그리고 공격자들은 이 공급망을 오염시키는 공격을 개발해냈다. 개발자들이 많이 퍼가는 소스코드나 패키지, 라이브러리에 손을 대면, 자연스럽게 많은 소프트웨어에 악성 인자를 심을 수 있게 된다는 것을 깨달았기 때문이다. 한 마디로 고효율 공격이 가능하다는 것.

이것이 극적으로 드러난 것이 지난 해말과 올해 초 미국을 떠들썩하게 만들었던 솔라윈즈(SolarWinds) 사태다. 러시아의 공격자들이 솔라윈즈라는 회사에서 만든 소프트웨어의 업데이트 파일을 감염시킨 후, 공식 업데이트 망(즉 공급망)을 통해 배포한 것이다. 파일 하나 감염시킨 것으로, 공격자들은 수십만 개의 조직들에 공격의 발판을 마련할 수 있었다. 코드 저장소 서비스인 코드코브(CodeCov)에서도 비슷한 일이 있었다.

이런 일들이 자꾸만 벌어지자(구글은 최근 2년 간 공급망 공격이 급증하고 있다고 발표했다) ‘소프트웨어 공급망의 보호’라는 개념이 대두되기 시작했다. 시장에서 거래되는 기성품들에 원산지와 주 성분이 표기되듯이, 소프트웨어도 그런 식으로 관리해 불법적인 요소가 개입될 가능성을 낮추자는 주장이 힘을 얻기 시작했다.

그런 가운데 등장한 ‘살사’는 현재 일종의 보안 가이드라인 형식을 취하고 있다. 다만 산업 내 합의된 내용들을 취합해 내용을 늘려가겠다는 게 구글의 계획이다. 그러므로 최종 결과물은 체크리스트 형식의 ‘베스트 프랙티스’ 모음과 사뭇 다를 것이라고 구글은 예상하고 있다. “감사가 가능한 메타데이터의 자동 생성을 지원하게 될 것”이라는 내용이 구글의 블로그에 언급되어 있다. 이 메타데이터는 정책 엔진들에 제공되고, 이를 통해 ‘살사 인증서’가 각 패키지나 빌드 플랫폼에 부착될 것이라고 한다.

이 ‘살사’는 지난 8년 동안 구글 내부에서 사용된 코드 점검 프로세스인 BAB(Binary Authorization for Borg)에서 탄생했다고 한다. BAB는 내부자 위험 요인을 줄이기 위해 마련된 것으로, 구글 내부에서 사용되는 생산성 소프트웨어를 일일이 감사, 점검, 승인하는 일련의 프로세스를 말한다. 구글 사용자 데이터를 활용하는 소프트웨어일 경우 더욱 엄격하게 이 프로세스가 적용된다고 한다. 현재 구글 내 모든 생산 워크로드는 BAB를 반드시 거치도록 되어 있다.

앞으로 그 내용이 더 방대해질 ‘살사’의 중요한 성장 방향은 ‘액셔너블(actionable)’이라고 구글은 강조하기도 했다. 특정 소프트웨어 구성 요소의 위험성이나 안전성을 단순 표기하는 걸 넘어 적절한 조치가 실질적으로 취해지도록 한다는 것이다. 또한 각 구성 요 소의 등급은 크게 네 단계로 나눠질 예정이다. 가장 이상적인 상태를 유지하는 구성 요소는 4등급으로 분류되고, 1등급은 위험할 수 있다는 표시가 될 전망이다. 최초 생산자로 추적이 가능하며, 중간 과정에서 그 어떤 불법적 개입이 없다면 4등급을 무난히 받을 수 있다고 구글은 설명한다.

3줄 요약
1. 구글, 소프트웨어 공급망 보호하기 위한 프레임워크 ‘살사’ 발표.
2. 아직 미완성 단계인 프레임워크라 업계 피드백 받아 더 발전시킬 예정.
3. 발전 방향은 ‘감사 가능한 메타데이터의 자동 생성’과 ‘액셔너블.’

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)