[2월 월간브리핑] SBOM이 사이버 보안을 개선하는 데 미치는 영향
support1
게시글 작성 시각 2022-02-21 15:02:49
SBOM이 사이버 보안을 개선하는 데 미치는 영향
- Open UP -
- 리눅스 재단, SBOM 및 사이버 보안 준비 연구 현황 발표를 통해 2022년에는 조직의 78% 정도가 SBOM을 생성 또는 사용할 것으로 예상
- SBOM은 소프트웨어의 보안 취약점, 출처 및 계보, 라이선스 의무 등의 요구사항을 효과적으로 해결 가능하므로 대부분의 조직이 모든 소프트웨어 구성요소에 대한 SBOM을 확인하는 데 관심이 있음
- 클라우드 네이티브 컴퓨팅 재단, ‘CNCF 연간 조사 2021’ 보고서를 통해 전세계 조직의 96%가 쿠버네티스를 이미 사용 또는 검토중이라고 발표
□ 리눅스 재단, 'SBOM 및 사이버 보안 준비 상태' 연구보고서 발표
- 리눅스 재단, SBOM(소프트웨어 자재 명세서)이 오픈 소스 생태계 전반의 사이버 보안을 개선하는 데 미치는 중요성에 대한 연구보고 발표
- 리눅스재단은 소프트웨어 공급망 확보의 과제와 기회를 파악하기 위해 SPDX, OpenChain 및 OpenSSF와 협력하여 조직의 SBOM 준비 및 채택이 사이버 보안 노력과 연계된 정도에 대한 연구 프로젝트 진행
※ SBOM(소프트웨어 자재 명세서, Software Bills of Materials)
소프트웨어 패키지 및 구성 요소 등 고유하게 식별 가능한 형식으로 기계가 읽을 수 있는 메타데이터, 저작권 및 라이선스 등 소프트웨어 콘텐츠에 대한 기타 정보들을 포함
- * 2021년 5월, 미국 정부는 사이버 보안 강화를 위한 행정 명령(EO)을 통해 SBOM 제출 의무화를 발표, 이는 소프트웨어 생산, 구매 및 운영자에게 공급망에 대한 이해를 높여주는 정보를 제공하고 소프트웨어의 취약점과 위험을 쉽게 추적할 수 있도록 함
- * 이 보고서는 소프트웨어 공급망 보안에 있어 중요한 도구인 SBOM을 보다 잘 이해하고 SBOM을 채택해야 하는 이유를 파악하기 위해 SBOM 준비 상태 및 SBOM 생성과 사용 수준에 대하여 광범위하게 조사 진행
- * 전 세계에서 총 412개 조직이 65개 질문으로 구성된 설문 조사에 참여
- * SBOM 준비 상태뿐만 아니라 SBOM 생성 및 사용 수준에 따라 SBOM 성숙도를 SBOM 지연자, SBOM 얼리 어답터, SBOM 혁신가의 세 가지 범주로 나누어 진행
- 리눅스재단은 소프트웨어 공급망 확보의 과제와 기회를 파악하기 위해 SPDX, OpenChain 및 OpenSSF와 협력하여 조직의 SBOM 준비 및 채택이 사이버 보안 노력과 연계된 정도에 대한 연구 프로젝트 진행
- 사이버 보안 및 SBOM의 전반적인 인식에 대한 주요 분석 결과
- 1) 소프트웨어 보안에 대한 우려
- 아메리카(21%)와 EMEA(18%)에 비해 아시아 태평양 지역이 35%로 소프트웨어 보안에 대한 우려가 가장 높음
- * EMEA : 유럽, 중동, 아프리카
- 2) 소프트웨어 선택에 영향을 미치는 요소
- (1순위) 보안
- (2순위) 라이선스 컴플라이언스
- (3순위) 규정(규제) 준수 및 감사
- * 소프트웨어 보안에 대해 우려하는 주요 이유는 재정적 위험(66%), 평판 위험(61%) 및 법적 위험(53%)
- 3) 소프트웨어 공급망 보안을 위해 필요한 주요 활동
- (47%) 취약성 보고 시스템 마련
- (45%) SBOM 사용
- (39%) 전 세계적인 고유한 식별자
- (34%) 재현 가능한 빌드 사용을 통한 검증
- (23%) 암호화 서명
- * 관련 활동들 중 일부는 SBOM 사용 시 달성 가능한 기능들임
- 4) 조직 내 SBOM 준비 수준
- (82%) SBOM이라는 용어에 익숙함
- (76%) SBOM 요구사항을 해결하는 데 적극적으로 참여
- (47%) SBOM을 현재 생성하거나 사용 중
- (78%) 2022년에 SBOM을 생성 또는 사용할 것으로 예상
- (2023년에는 88%에 이를 것으로 예상)
- 5) 미국 사이버보안 행정명령에 대한 인식 및 조치
- (80%) 사이버 보안 개선에 관한 백악관 행정명령 인지
- (76%) 행정명령의 직접적인 결과로 변화를 고려 중
- 6) SBOM의 생성, 사용, 통합 및 상호 운용성을 촉진하기 위한 방법
- (62%) DevOps 실행절차에 통합
- (58%) GRC(Governance, Risk and Compliance) 프로세스에 통합
- * OSPO(오픈 소스 프로그램 사무소) 또는 CISO(Chief Information Security Office)가 있는 조직의 경우 적용 가능성 증가
- (53%) 시간이 지남에 따라 변화하는 업계 합의 내용 모색
- (46%) SBOM 툴 및 기능을 제공할 공급업체 확인
- * IT 공급업체들이 SBOM 시장을 형성하고 가속화할 수 있는 중요한 시장 기회
- 7) SBOM을 생성할 때 얻을 수 있는 주요 이점 세 가지
- (51%) 애플리케이션 구성 요소 간 의존성(dependency)을 쉽게 파악 가능
- (49%) 구성요소의 취약점 모니터링 용이
- (44%) 라이선스 컴플라이언스 관리 용이
- 8) SBOM을 사용함으로써 얻는 주요 이점 세 가지
- (53%) 컴플라이언스 및 보고 요구사항을 보다 효과적으로 지원
- (53%) 위험 기반 의사 결정을 가능하게 하는 정보 제공
- (44%) 라이선스 컴플라이언스 관리 용이
- (49%) 취약점에 대한 신속한 파악
- (49%) 서비스 중단(EOL)된 구성요소에 대한 사전 예방적 식별 가능
- (48%) 위험 구성요소에 대한 인식 가능
- * SBOM은 소프트웨어의 보안 취약점, 출처 및 계보, 라이선스 컴플라이언스의 세 가지 기준을 효과적으로 해결
- 9) 종합적으로 현재 SBOM을 생성/사용 시 소프트웨어 공급망 보호를 위한 다양한 지원 가능
- 오픈소스 소프트웨어에 대한 주요 분석 결과
- 1) 오픈소스 소프트웨어의 사용 여부
- (98%) 오픈소스 소프트웨어 사용
- (40%) 특정 조건에 따라 오픈소스 소프트웨어 사용
- * 이는 시장에 많은 독점 소프트웨어의 일부 용량에서 오픈소스 소프트웨어를 활용한다는 것을 의미할 수 있음
- * 또한 SBOM 혁신가들이 오픈 소스 소프트웨어를 조건 없이 더 많이 사용하는 경향이 있음
- 2) 오픈소스 소프트웨어의 사용 조건
- * 특정 조건에 따라 오픈소스 소프트웨어를 사용한다는 응답자들을 대상으로 확인
- (54%) 코드 성능 검증
- (51%) 코드 보안 검증
- (51%) 코드 지원 수준 검증
- (48%) 코드 출처 검증
- (41%) 코드 라이선스 검증
- * SBOM 혁신가들은 코드 성능 검증(70%), 코드 보안 검증(65%), 코드 라이선스 검증(65%)에 중점을 두고 있는 것으로 나타남
- 3) 오픈소스 소프트웨어에서 SBOM의 중요성에 대한 인식
- (60%) 오픈소스 소프트웨어와 독점 소프트웨어에 동등하게 중요
- (29%) 독점 소프트웨어보다 오픈소스 소프트웨어에서 더 중요
- (9%) 독점 소프트웨어보다 오픈소스 소프트웨어에서 덜 중요
- * SBOM 혁신가는 43%는 SBOM이 동등하게 중요하다고 생각하고 50%는 SBOM이 오픈 소스 소프트웨어에 더 중요하다고 응답
- * 이는 SBOM 작업에 더 많은 경험이 있는 SBOM 혁신가가 오픈소스 SBOM에 대한 필요성을 더 크게 생각한다는 것을 의미
- 4) 종합적으로 대부분의 조직이 모든 소프트웨어 구성요소에 대한 SBOM을 확인하는 데 관심이 있음
□ CNCF, 연간 조사 보고서 “쿠버네티스는 대세를 넘어 글로벌 주류 기술”
- 클라우드 네이티브 컴퓨팅 재단(Cloud Native Computing Foundation, 이하 CNCF)의 ‘CNCF 연간 조사 2021’ 보고서에서 전세계 조직의 96%가 쿠버네티스를 이미 사용중이거나 검토중이라고 발표
- *이번 CNCF 설문조사는 지난 2021년 4월부터 11월까지 전 세계 3,800여명의 응답자를 대상으로 실시되었으며, 데이터독(DataDog)과 뉴렐릭(New Relic)의 프로덕션 데이터, 슬래시데이터(SlashData)의 인사이트가 포함되어 있음
- 소프트웨어 개발자 분석회사인 슬래시데이터는 ‘클라우드 네이티브 개발 보고서 현황’에 따르면 560만명 이상의 개발자가 쿠버네티스를 사용중이며 이는 전체 백엔드 개발자의 31%에 해당
- 컨테이너 모니터링 업체 뉴렐릭의 ‘O11y 동향 보고서’에 따르면 쿠버네티스 채택은 전년 대비 37% 증가, 전체 컨테이너 채택은 전년 대비 49% 증가
- * 가트너는 2023년까지 조직의 70%가 컨테이너화된 애플리케이션을 실행할 것이라고 예측
- 전체 응답자의 79%가 이러한 운영 작업의 일부를 인증된 호스팅 쿠버네티스 플랫폼으로 오프로딩한다고 응답
- *자체 클러스터를 수동으로 튜닝하는 게 어렵기 때문으로 볼수 있음
- 클라우드 모니터링 전문 업체 데이터독의 ‘2021 컨테이너 보고서’에 따르면 쿠버네티스 사용자의 90%가 클라우드 관리형 서비스를 사용중
- *그 중 가장 인기 있는 것은 쿠버네티스용 Amazon Elastic Container Service(39%), Azure Kubernetes Service(23%) 및 Azure(AKS) 엔진(17%) 순임
- 쿠버네티스가 주류 기술로 성숙해짐에 따라 클라우드 네이티브 프로젝트의 채택이 전년대비 증가, 컨테이너 런타임(CRI-O, containerd), 서비스 메시(Envoy, Linkerd) 및 모니터링 도구(Prometheus)에서 특히 두드러짐
- *오픈소스 시계열 분석 모니터링툴 Prometheus는 작년 하반기동안 43% 성장하였으며, 오픈소스 데이터수집 소프트웨어 FluentD는 데이터 수집 기준 지난 1년간 53% 성장(뉴렐릭 조사자료)
- *컨테이너 런타임 containerd를 사용하는 컨테이너형 기업은 500% 증가를 보였으며, Envoy를 사용하는 컨테이너형 기업은 39% 성장(2020.01~2021.01, 데이터독 조사자료)
- *CNCF 인큐베이팅 프로젝트의 경우 Argo는 전년 대비 115% 증가, 컨테이너 런타임 CRI-O도 전년 대비 51% 증가(CNCF 조사 자료)
□ 주목할 만한 월간 이슈(2월)
- (오픈체인) 카카오와 카카오뱅크,‘오픈체인(Open Chain) 프로젝트’의 표준 준수 기업으로 국제표준화기구(ISO)의 오픈소스 컴플라이언스 인증(ISO/IEC 5230:2020)을 획득
- * 오픈소스 컴플라이언스 인증은 체계적이고 일관성 있는 오픈소스 컴플라이언스를 갖춘 기업들에게 인증을 부여, 현재까지 글로벌 40여 개 기업이 인증을 받음
- (카카오)국제 표준 인증을 통해 오픈소스 활용 역량을 인정받고, 오픈소스 관리 서비스‘올리브 플랫폼’의 공신력을 높일 것으로 기대
- * 올리브 플랫폼은 오픈소스의 라이선스 및 의무사항을 확인하여 리포트 제공
- (카카오뱅크) 국내 금융업계 중 최초로 오픈소스 활용 관련 신뢰성과 관리체계 인정받아 국제 표준 인증을 획득
- * 카카오뱅크는 오픈소스 활용 역량을 바탕으로 혁신적 금융 기술확산에 기여하고, 금융 기술 분야의 리더십을 확보한다는 계획
- (AI)ETRI, AI 핵심 소프트웨어 '딥러닝 컴파일러' 개발하여 AI 반도체 개발 속도↑
- 한국전자통신연구원(이하 ETRI)은 AI 핵심 시스템 소프트웨어인 딥러닝 컴파일러 '네스트(NEST-C)'와 AI 반도체 하드웨어를 개발, 깃허브에 오픈소스로 공개.
- ETRI는 AI 응용프로그램에 적합한 공통 컴파일러가 실행 코드를 기계어 코드로 변환시키기 한 내부 고유 표현을 정의하여 네스트 컴파일러에 적용, AI 응용프로그램과 AI 반도체 간 이질성 해소를 통해 AI 반도체 개발이 쉬워짐
- *컴파일러는 칩의 종류와 AI 응용프로그램에 따라 다르게 개발해야 하였으나 이번 개발로 범용성 높은 네스트 컴파일러로 대체 가능
- 이번 개발로 응용프로그램의 개발 및 최적화 시간을 단축하고 반도체 생산·판매비용 절감이 가능해짐
- *보통 제조사들은 AI 반도체, 시스템SW, 응용프로그램을 함께 개발해 판매하는데 그간 중소기업·스타트업은 반도체 설계에 역량을 집중하기 어려웠음
- 국내 AI 반도체 스타트업이 자체 개발한 고성능 AI 반도체에도 네스트 컴파일러를 적용, 관련 기업과 협업해 딥러닝 컴파일러 지원 범위를 넓힐 계획
- (금융) 디지털 화폐 활용을 돕는 거래 처리 소프트웨어 공개
- 미국 보스턴 연방준비은행이 메사추세스공과대학(MIT)과 합작하여 초당 10만건의 거래를 처리하고 5초 이내 결제가 가능한 코드를 개발, 거래처리 소프트웨어‘OpenCBDC’를 오픈소스 라이선스로 공개
- * 블룸버그에 따르면, 이번 공동 연구 프로젝트는 연방준비제도가 진행하고 있는 미국 중앙은행의 디지털통화(CBDC) 연구와는 별개.
- ‘OpenCBDC’의 공개가 향후 디지털 달러 결제에 시중 은행 등 중개업자의 참여 가능성을 보여주는 것임*
- *짐쿠냐 보스턴 연방준비제도 임시최고운영책임자의 발언 인용
- 한편, 뱅크오브아메리카(BoA)의 전략가들은 미국에서 디지털 달러 도입은 피할 수 없을 것이며, 적어도 오는 2025년~2030년 사이에 발행될 가능성이 높다고 전망
- 미국 보스턴 연방준비은행이 메사추세스공과대학(MIT)과 합작하여 초당 10만건의 거래를 처리하고 5초 이내 결제가 가능한 코드를 개발, 거래처리 소프트웨어‘OpenCBDC’를 오픈소스 라이선스로 공개
- (로봇) 사전 미학습 물체 인식하는 '로봇 시각 인공지능' , 오픈소스로 공개
- 지스트(광주과학기술원) 이규빈 교수 연구팀은 계층적 가림 모델링을 통하여 복잡한 로봇 환경에서도 미학습 물체의 가시 영역과 비가시 영역, 가림 여부를 동시 검출하는 딥러닝 기술을 개발
- * 로봇이 새로운 환경에서 물체를 조작하려면, 사전에 학습하지 않은 새로운 물체가 주어지더라도 이를 정확히 검출할 필요가 있지만 한계가 있었음
- 연구팀은 물체 간 가림 관계를 효과적으로 고려하기 위한 계층적 가림 모델링을 제안하고, 이를 학습 및 평가하기 위한 새로운 가상 및 실 환경 데이터셋을 오픈소스로 공개
- * 연구에 사용된 코드와 데이터셋은 현재,깃허브(다운)를 통해 공개
- * 논문은 로봇자동화학회(ICRA 2022)에서 '계층적 폐색 모델링을 통한 보이지 않는 객체 아모달 인스턴스 분할'이란 제목으로 발표될 예정
- 지스트(광주과학기술원) 이규빈 교수 연구팀은 계층적 가림 모델링을 통하여 복잡한 로봇 환경에서도 미학습 물체의 가시 영역과 비가시 영역, 가림 여부를 동시 검출하는 딥러닝 기술을 개발
□ 시사점
- 미국의 사이버보안 행정명령을 통해 모든 소프트웨어에 대한 SBOM 요구사항을 확인하고 소프트웨어 공급망 전반에 걸쳐 사이버 보안문제 해결을 위한 노력의 필요성 시사
- 쿠버네티스가 주류 기술로 성숙해지고 있으며 더 많은 조직이 오픈소스 기술을 활용하여 모니터링 등 다양한 기능을 향상시키려 하고 있음
※ 참고문헌 Reference
- The Linux Foundation Releases The State of Software Bill of Materials (SBOM) and Cybersecurity Readiness Research, The Linux Foundation, 2022.02.01.
https://linuxfoundation.org/press-release/the-linux-foundation-releases-the-state-of-software-bill-of-materials-sbom-and-cybersecurity-readiness-research/ - The State of Software Bill of Materials (SBOM) and Cybersecurity Readiness, The Linux Foundation
https://www.linuxfoundation.org/tools/the-state-of-software-bill-of-materials-sbom-and-cybersecurity-readiness/ - Software Bill of Materials (SBOM) and Cybersecurity Readiness, OpenSSF, OpenChain, SPDX, 2022.01.
https://linuxfoundation.org/wp-content/uploads/LFResearch_SBOM_Report_020422.pdf - CNCF Annual Survey 2021, Cloud Native Computing Foundation, 2022.02.10.
https://www.cncf.io/reports/cncf-annual-survey-2021/ - ANNUAL SURVEY 2021 - The year Kubernetes crossed the chasm, Cloud Native Computing Foundation, DATADOG, New Relic, 2022.02.
https://www.cncf.io/wp-content/uploads/2022/02/CNCF-AR_FINAL-edits-15.2.21.pdf - “관리형 쿠버네티스가 표준으로 자리 잡고 있다” CNCF, CIO Korea, 2022.02.12.
https://www.ciokorea.com/news/225004 - 쿠버네티스·컨테이너, 전세계 조직 96%가 쓴다, 지디넷코리아, 2022.02.14.
https://zdnet.co.kr/view/?no=20220214092819 - 카카오뱅크, 오픈소스 국제 표준 인증 획득···국내 금융사 최초, 글로벌이코노믹, 2022.01.25
https://news.g-enews.com/view.php?ud=2022012509203373459d71c7606b_1&md=20220125092756_S - 카카오, 오픈소스 국제표준 인증 획득, 이데일리, 2022.01.25.
https://www.edaily.co.kr/news/read?newsId=01751526632201328&mediaCodeNo=257&OutLnkChk=Y - 美 '디지털 달러' 도입에 박차...거래 SW 개발 성공, 디지털데일리, 2022.02.04
http://m.ddaily.co.kr/m/m_article/?no=230576 - ETRI, AI 핵심 소프트웨어 '딥러닝 컴파일러' 개발...AI 반도체 개발 속도↑, 전자신문, 2022.01.26
https://www.etnews.com/20220126000068 - 학습하지 않은 물체 인식하는 '로봇 시각 인공지능'... 지스트 이규빈 교수팀, 오픈소스로 공개, 인공지능신문, 2022.02.16.
http://www.aitimes.kr/news/articleView.html?idxno=24251 - 공개SW 포털(oss.kr) ‘공개SW 소식’ 참조
Open UP에 의해 작성된 이 저작물은 크리에이티브 커먼즈 저작자표시-비영리-변경금지 2.0 대한민국 라이선스에 따라 이용할 수 있습니다.
.
.
2022
0개 댓글