최근 미디어에서 지속적으로 노출되는 보안 키워드는 제로 트러스트와 소프트웨어(SW) 공급망 보안으로 차세대 보안 패러다임의 두 축으로 볼 수 있다.
2021년 미국에선 사이버 보안 사고가 계속해서 발생하자 조 바이든 대통령이 국가 사이버 안보 체계 개선을 위해 행정 명령을 발표했다. 제로 트러스트 아키텍처, 클라우드 서비스 이동 그리고 SW 공급망 보안 강화를 위해 SW 구성 명세서(SBOM:Software Bill of Materials)에 대한 최소 요소를 개발해 공개하는 게 골자다.
이에 발맞춰 한국 정부에서도 'SW 공급망보안 가이드라인 1.0'과 '제로 트러스트 가이드라인 1.0'을 배포해 국내 공공기관이나 기업에서 활용할 수 있도록 가이드를 제시하고 있다.
하지만 기관·기업에선 아직 누가 어디서부터 어떻게 제로 트러스트와 SW 공급망 보안을 적용해야 하는지 어려워하고 있다.
제로 트러스트나 SW 공급망 보안을 적용해야 하는 이유가 명확해야 하므로 적용 전·후 효과 부분을 면밀히 확인해야 할 필요성이 있다.
제로 트러스트는 내부 시스템이 해킹당하거나 내부자 보안을 강화하기 위해 적용되는 네트워크 전반에 대한 인증 및 접근제어 기법을 활용한 보안 강화 아키텍처다. 기업의 네트워크에서 내부자 혹은 내부 해킹으로 인한 피해가 발생했을 때 추가 피해를 막는 데 효과적인 방법론이며 기술이다.
예를 들어 공격자에 의해 개인용컴퓨터(PC)나 서버에 악성코드가 감염된 경우 해당 악성코드가 내부의 다른 시스템이나 PC에 접근하지 못하고 차단해 추가 피해를 방어하는 것이 제로 트러스트 아키텍처의 가장 큰 효과성이다.
SW 공급망 보안은 SW 개발·배포·도입·운영 중 전 단계에서의 취약점을 식별하고 보안을 강화하기 위한 기술로, 대표적인 대안이 SBOM을 관리하는 것이다. SBOM은 SW의 구성을 최소단위로 관리해 취약한 컴포넌트나 오픈소스 라이브러리가 적용돼 있는지를 확인하기 위한 가장 좋은 대안으로 떠오르고 있다. 이를 이용하면 SW 개발사·유통사·도입사·운영사가 단계별로 SW의 구성을 관리하고 만약 위험한 취약점이 발생해 발표됐을 때 빠르게 취약한 SW의 구성을 식별하고 대응을 할 수 있다.
예를 들어 로그4제이(Log4j)와 같은 취약한 라이브러리가 발생했을 때 SBOM으로 SW 구성을 전반적으로 관리하고 있다면 빠르게 취약한 SW를 식별하고 보안 패치를 통해 대응을 쉽게 진행할 수 있다.
적용 효과는 다르지만, 제로 트러스트와 SW 공급망 보안은 기존의 보안 문제를 해결하고 기업·기관, 나아가 국가 전체의 보안을 크게 향상할 수 있다.
정부에서도 차세대 보안 패러다임에 따라 전반적인 사이버 보안을 향상하기 위해 제로 트러스트 실증 지원 사업이나 공급망 보안 테스트 베드 등을 구축하는 사업을 지속 진행하고 있다.
하지만 아직은 실증을 진행한 사례가 많지 않아, 기술을 이해하고 적용하기 어렵기는 마찬가지다.
제로 트러스트는 지금보다 더 실증을 활성화해 산업을 육성하고 다양한 모델의 아키텍처가 정립돼 기관과 기업에서 쉽게 적용할 수 있도록 해야 한다. SW 공급망 보안은 보안 담당자뿐만 아니라 일반 개발자들도 지속해서 공급망 보안을 관리하고 접할 수 있도록 더 많은 홍보와 함께 관리 시스템이 필요하다.
우리나라가 정보보호와 SW 산업 육성과 활성화로 새로운 보안 패러다임인 제로 트러스트와 SW 공급망보안에서 선두 주자로 우뚝 서 보길 기대해 본다.
홍동철 엠시큐어 대표 hinehong@msecure.co