본문 바로가기

 

SBOM이 사이버 보안을 개선하는 데 미치는 영향

- Open UP -

 

  • 리눅스 재단, SBOM 및 사이버 보안 준비 연구 현황 발표를 통해 2022년에는 조직의 78% 정도가 SBOM을 생성 또는 사용할 것으로 예상
    1. SBOM은 소프트웨어의 보안 취약점, 출처 및 계보, 라이선스 의무 등의 요구사항을 효과적으로 해결 가능하므로 대부분의 조직이 모든 소프트웨어 구성요소에 대한 SBOM을 확인하는 데 관심이 있음
  • 클라우드 네이티브 컴퓨팅 재단, ‘CNCF 연간 조사 2021’ 보고서를 통해 전세계 조직의 96%가 쿠버네티스를 이미 사용 또는 검토중이라고 발표

 

□ 리눅스 재단, 'SBOM 및 사이버 보안 준비 상태' 연구보고서 발표

  • 리눅스 재단, SBOM(소프트웨어 자재 명세서)이 오픈 소스 생태계 전반의 사이버 보안을 개선하는 데 미치는 중요성에 대한 연구보고 발표
    1. 리눅스재단은 소프트웨어 공급망 확보의 과제와 기회를 파악하기 위해 SPDX, OpenChain 및 OpenSSF와 협력하여 조직의 SBOM 준비 및 채택이 사이버 보안 노력과 연계된 정도에 대한 연구 프로젝트 진행

      ※ SBOM(소프트웨어 자재 명세서, Software Bills of Materials)

      소프트웨어 패키지 및 구성 요소 등 고유하게 식별 가능한 형식으로 기계가 읽을 수 있는 메타데이터, 저작권 및 라이선스 등 소프트웨어 콘텐츠에 대한 기타 정보들을 포함

      1. * 2021년 5월, 미국 정부는 사이버 보안 강화를 위한 행정 명령(EO)을 통해 SBOM 제출 의무화를 발표, 이는 소프트웨어 생산, 구매 및 운영자에게 공급망에 대한 이해를 높여주는 정보를 제공하고 소프트웨어의 취약점과 위험을 쉽게 추적할 수 있도록 함
    1. * 이 보고서는 소프트웨어 공급망 보안에 있어 중요한 도구인 SBOM을 보다 잘 이해하고 SBOM을 채택해야 하는 이유를 파악하기 위해 SBOM 준비 상태 및 SBOM 생성과 사용 수준에 대하여 광범위하게 조사 진행
    2. * 전 세계에서 총 412개 조직이 65개 질문으로 구성된 설문 조사에 참여
    3. * SBOM 준비 상태뿐만 아니라 SBOM 생성 및 사용 수준에 따라 SBOM 성숙도를 SBOM 지연자, SBOM 얼리 어답터, SBOM 혁신가의 세 가지 범주로 나누어 진행

 

  • 사이버 보안 및 SBOM의 전반적인 인식에 대한 주요 분석 결과
  • 1) 소프트웨어 보안에 대한 우려
    1. 아메리카(21%)와 EMEA(18%)에 비해 아시아 태평양 지역이 35%로 소프트웨어 보안에 대한 우려가 가장 높음
    2. * EMEA : 유럽, 중동, 아프리카
    3. 소프트웨어 보안에 대한 우려
  •  
  • 2) 소프트웨어 선택에 영향을 미치는 요소
    1. (1순위) 보안
    2. (2순위) 라이선스 컴플라이언스
    3. (3순위) 규정(규제) 준수 및 감사
    4. * 소프트웨어 보안에 대해 우려하는 주요 이유는 재정적 위험(66%), 평판 위험(61%) 및 법적 위험(53%)
    5. 소프트웨어 선택에 영향을 미치는 요소
  •  
  • 3) 소프트웨어 공급망 보안을 위해 필요한 주요 활동
    1. (47%) 취약성 보고 시스템 마련
    2. (45%) SBOM 사용
    3. (39%) 전 세계적인 고유한 식별자
    4. (34%) 재현 가능한 빌드 사용을 통한 검증
    5. (23%) 암호화 서명
    6. * 관련 활동들 중 일부는 SBOM 사용 시 달성 가능한 기능들임
  •  
  • 4) 조직 내 SBOM 준비 수준
    1. (82%) SBOM이라는 용어에 익숙함
    2. (76%) SBOM 요구사항을 해결하는 데 적극적으로 참여
    3. (47%) SBOM을 현재 생성하거나 사용 중
    4. (78%) 2022년에 SBOM을 생성 또는 사용할 것으로 예상
    5. (2023년에는 88%에 이를 것으로 예상)
  •  
  • 5) 미국 사이버보안 행정명령에 대한 인식 및 조치
    1. (80%) 사이버 보안 개선에 관한 백악관 행정명령 인지
    2. (76%) 행정명령의 직접적인 결과로 변화를 고려 중
  •  
  • 6) SBOM의 생성, 사용, 통합 및 상호 운용성을 촉진하기 위한 방법
    1. (62%) DevOps 실행절차에 통합
    2. (58%) GRC(Governance, Risk and Compliance) 프로세스에 통합
    3. * OSPO(오픈 소스 프로그램 사무소) 또는 CISO(Chief Information Security Office)가 있는 조직의 경우 적용 가능성 증가
    4. (53%) 시간이 지남에 따라 변화하는 업계 합의 내용 모색
    5. (46%) SBOM 툴 및 기능을 제공할 공급업체 확인
    6. * IT 공급업체들이 SBOM 시장을 형성하고 가속화할 수 있는 중요한 시장 기회
  •  
  • 7) SBOM을 생성할 때 얻을 수 있는 주요 이점 세 가지
    1. (51%) 애플리케이션 구성 요소 간 의존성(dependency)을 쉽게 파악 가능
    2. (49%) 구성요소의 취약점 모니터링 용이
    3. (44%) 라이선스 컴플라이언스 관리 용이
  •  
  • 8) SBOM을 사용함으로써 얻는 주요 이점 세 가지
    1. (53%) 컴플라이언스 및 보고 요구사항을 보다 효과적으로 지원
    2. (53%) 위험 기반 의사 결정을 가능하게 하는 정보 제공
    3. (44%) 라이선스 컴플라이언스 관리 용이
    4. (49%) 취약점에 대한 신속한 파악
    5. (49%) 서비스 중단(EOL)된 구성요소에 대한 사전 예방적 식별 가능
    6. (48%) 위험 구성요소에 대한 인식 가능
    7. * SBOM은 소프트웨어의 보안 취약점, 출처 및 계보, 라이선스 컴플라이언스의 세 가지 기준을 효과적으로 해결
  •  
  • 9) 종합적으로 현재 SBOM을 생성/사용 시 소프트웨어 공급망 보호를 위한 다양한 지원 가능

 

  • 오픈소스 소프트웨어에 대한 주요 분석 결과
  • 1) 오픈소스 소프트웨어의 사용 여부
    1. (98%) 오픈소스 소프트웨어 사용
    2. (40%) 특정 조건에 따라 오픈소스 소프트웨어 사용
    3. * 이는 시장에 많은 독점 소프트웨어의 일부 용량에서 오픈소스 소프트웨어를 활용한다는 것을 의미할 수 있음
    4. * 또한 SBOM 혁신가들이 오픈 소스 소프트웨어를 조건 없이 더 많이 사용하는 경향이 있음
    5. 소프트웨어 선택에 영향을 미치는 요소
  •  
  • 2) 오픈소스 소프트웨어의 사용 조건
    1. * 특정 조건에 따라 오픈소스 소프트웨어를 사용한다는 응답자들을 대상으로 확인
    2. (54%) 코드 성능 검증
    3. (51%) 코드 보안 검증
    4. (51%) 코드 지원 수준 검증
    5. (48%) 코드 출처 검증
    6. (41%) 코드 라이선스 검증
    7. * SBOM 혁신가들은 코드 성능 검증(70%), 코드 보안 검증(65%), 코드 라이선스 검증(65%)에 중점을 두고 있는 것으로 나타남
    8. 소프트웨어 선택에 영향을 미치는 요소
  •  
  • 3) 오픈소스 소프트웨어에서 SBOM의 중요성에 대한 인식
    1. (60%) 오픈소스 소프트웨어와 독점 소프트웨어에 동등하게 중요
    2. (29%) 독점 소프트웨어보다 오픈소스 소프트웨어에서 더 중요
    3. (9%) 독점 소프트웨어보다 오픈소스 소프트웨어에서 덜 중요
    4. * SBOM 혁신가는 43%는 SBOM이 동등하게 중요하다고 생각하고 50%는 SBOM이 오픈 소스 소프트웨어에 더 중요하다고 응답
    5. * 이는 SBOM 작업에 더 많은 경험이 있는 SBOM 혁신가가 오픈소스 SBOM에 대한 필요성을 더 크게 생각한다는 것을 의미
  •  
  • 4) 종합적으로 대부분의 조직이 모든 소프트웨어 구성요소에 대한 SBOM을 확인하는 데 관심이 있음

 

 

□ CNCF, 연간 조사 보고서 “쿠버네티스는 대세를 넘어 글로벌 주류 기술”

  • 클라우드 네이티브 컴퓨팅 재단(Cloud Native Computing Foundation, 이하 CNCF)의 ‘CNCF 연간 조사 2021’ 보고서에서 전세계 조직의 96%가 쿠버네티스를 이미 사용중이거나 검토중이라고 발표
    1. *이번 CNCF 설문조사는 지난 2021년 4월부터 11월까지 전 세계 3,800여명의 응답자를 대상으로 실시되었으며, 데이터독(DataDog)과 뉴렐릭(New Relic)의 프로덕션 데이터, 슬래시데이터(SlashData)의 인사이트가 포함되어 있음
    2. 소프트웨어 선택에 영향을 미치는 요소
    3.  
    4. 소프트웨어 개발자 분석회사인 슬래시데이터는 ‘클라우드 네이티브 개발 보고서 현황’에 따르면 560만명 이상의 개발자가 쿠버네티스를 사용중이며 이는 전체 백엔드 개발자의 31%에 해당
    5. 컨테이너 모니터링 업체 뉴렐릭의 ‘O11y 동향 보고서’에 따르면 쿠버네티스 채택은 전년 대비 37% 증가, 전체 컨테이너 채택은 전년 대비 49% 증가
      1. * 가트너는 2023년까지 조직의 70%가 컨테이너화된 애플리케이션을 실행할 것이라고 예측
    6. 전체 응답자의 79%가 이러한 운영 작업의 일부를 인증된 호스팅 쿠버네티스 플랫폼으로 오프로딩한다고 응답
      1. *자체 클러스터를 수동으로 튜닝하는 게 어렵기 때문으로 볼수 있음
    7. 클라우드 모니터링 전문 업체 데이터독의 ‘2021 컨테이너 보고서’에 따르면 쿠버네티스 사용자의 90%가 클라우드 관리형 서비스를 사용중
      1. *그 중 가장 인기 있는 것은 쿠버네티스용 Amazon Elastic Container Service(39%), Azure Kubernetes Service(23%) 및 Azure(AKS) 엔진(17%) 순임
    8. 쿠버네티스가 주류 기술로 성숙해짐에 따라 클라우드 네이티브 프로젝트의 채택이 전년대비 증가, 컨테이너 런타임(CRI-O, containerd), 서비스 메시(Envoy, Linkerd) 및 모니터링 도구(Prometheus)에서 특히 두드러짐
      1. *오픈소스 시계열 분석 모니터링툴 Prometheus는 작년 하반기동안 43% 성장하였으며, 오픈소스 데이터수집 소프트웨어 FluentD는 데이터 수집 기준 지난 1년간 53% 성장(뉴렐릭 조사자료)
      2. *컨테이너 런타임 containerd를 사용하는 컨테이너형 기업은 500% 증가를 보였으며, Envoy를 사용하는 컨테이너형 기업은 39% 성장(2020.01~2021.01, 데이터독 조사자료)
      3. *CNCF 인큐베이팅 프로젝트의 경우 Argo는 전년 대비 115% 증가, 컨테이너 런타임 CRI-O도 전년 대비 51% 증가(CNCF 조사 자료)

 

 

□ 주목할 만한 월간 이슈(2월)

  • (오픈체인) 카카오와 카카오뱅크,‘오픈체인(Open Chain) 프로젝트’의 표준 준수 기업으로 국제표준화기구(ISO)의 오픈소스 컴플라이언스 인증(ISO/IEC 5230:2020)을 획득
    1. * 오픈소스 컴플라이언스 인증은 체계적이고 일관성 있는 오픈소스 컴플라이언스를 갖춘 기업들에게 인증을 부여, 현재까지 글로벌 40여 개 기업이 인증을 받음
  • (카카오)국제 표준 인증을 통해 오픈소스 활용 역량을 인정받고, 오픈소스 관리 서비스‘올리브 플랫폼’의 공신력을 높일 것으로 기대
    1. * 올리브 플랫폼은 오픈소스의 라이선스 및 의무사항을 확인하여 리포트 제공
  • (카카오뱅크) 국내 금융업계 중 최초로 오픈소스 활용 관련 신뢰성과 관리체계 인정받아 국제 표준 인증을 획득
    1. * 카카오뱅크는 오픈소스 활용 역량을 바탕으로 혁신적 금융 기술확산에 기여하고, 금융 기술 분야의 리더십을 확보한다는 계획
  • (AI)ETRI, AI 핵심 소프트웨어 '딥러닝 컴파일러' 개발하여 AI 반도체 개발 속도↑
    1. 한국전자통신연구원(이하 ETRI)은 AI 핵심 시스템 소프트웨어인 딥러닝 컴파일러 '네스트(NEST-C)'와 AI 반도체 하드웨어를 개발, 깃허브에 오픈소스로 공개.
    2. ETRI는 AI 응용프로그램에 적합한 공통 컴파일러가 실행 코드를 기계어 코드로 변환시키기 한 내부 고유 표현을 정의하여 네스트 컴파일러에 적용, AI 응용프로그램과 AI 반도체 간 이질성 해소를 통해 AI 반도체 개발이 쉬워짐
      1. *컴파일러는 칩의 종류와 AI 응용프로그램에 따라 다르게 개발해야 하였으나 이번 개발로 범용성 높은 네스트 컴파일러로 대체 가능
    3. 이번 개발로 응용프로그램의 개발 및 최적화 시간을 단축하고 반도체 생산·판매비용 절감이 가능해짐
      1. *보통 제조사들은 AI 반도체, 시스템SW, 응용프로그램을 함께 개발해 판매하는데 그간 중소기업·스타트업은 반도체 설계에 역량을 집중하기 어려웠음
    4. 국내 AI 반도체 스타트업이 자체 개발한 고성능 AI 반도체에도 네스트 컴파일러를 적용, 관련 기업과 협업해 딥러닝 컴파일러 지원 범위를 넓힐 계획
  • (금융) 디지털 화폐 활용을 돕는 거래 처리 소프트웨어 공개
    1. 미국 보스턴 연방준비은행이 메사추세스공과대학(MIT)과 합작하여 초당 10만건의 거래를 처리하고 5초 이내 결제가 가능한 코드를 개발, 거래처리 소프트웨어‘OpenCBDC’를 오픈소스 라이선스로 공개
      1. * 블룸버그에 따르면, 이번 공동 연구 프로젝트는 연방준비제도가 진행하고 있는 미국 중앙은행의 디지털통화(CBDC) 연구와는 별개.
    2. ‘OpenCBDC’의 공개가 향후 디지털 달러 결제에 시중 은행 등 중개업자의 참여 가능성을 보여주는 것임*
      1. *짐쿠냐 보스턴 연방준비제도 임시최고운영책임자의 발언 인용
    3. 한편, 뱅크오브아메리카(BoA)의 전략가들은 미국에서 디지털 달러 도입은 피할 수 없을 것이며, 적어도 오는 2025년~2030년 사이에 발행될 가능성이 높다고 전망
  • (로봇) 사전 미학습 물체 인식하는 '로봇 시각 인공지능' , 오픈소스로 공개
    1. 지스트(광주과학기술원) 이규빈 교수 연구팀은 계층적 가림 모델링을 통하여 복잡한 로봇 환경에서도 미학습 물체의 가시 영역과 비가시 영역, 가림 여부를 동시 검출하는 딥러닝 기술을 개발
      1. * 로봇이 새로운 환경에서 물체를 조작하려면, 사전에 학습하지 않은 새로운 물체가 주어지더라도 이를 정확히 검출할 필요가 있지만 한계가 있었음
    2. 연구팀은 물체 간 가림 관계를 효과적으로 고려하기 위한 계층적 가림 모델링을 제안하고, 이를 학습 및 평가하기 위한 새로운 가상 및 실 환경 데이터셋을 오픈소스로 공개
      1. * 연구에 사용된 코드와 데이터셋은 현재,깃허브(다운)를 통해 공개
      2. * 논문은 로봇자동화학회(ICRA 2022)에서 '계층적 폐색 모델링을 통한 보이지 않는 객체 아모달 인스턴스 분할'이란 제목으로 발표될 예정

 

 

□ 시사점

  • 미국의 사이버보안 행정명령을 통해 모든 소프트웨어에 대한 SBOM 요구사항을 확인하고 소프트웨어 공급망 전반에 걸쳐 사이버 보안문제 해결을 위한 노력의 필요성 시사
  • 쿠버네티스가 주류 기술로 성숙해지고 있으며 더 많은 조직이 오픈소스 기술을 활용하여 모니터링 등 다양한 기능을 향상시키려 하고 있음

 

※ 참고문헌 Reference

 

Creative Commons LicenseOpen UP에 의해 작성된 이 저작물은 크리에이티브 커먼즈 저작자표시-비영리-변경금지 2.0 대한민국 라이선스에 따라 이용할 수 있습니다.

 

.
.
2022
공개SW 가이드/보고서 - 번호, 제목, 작성자, 조회수, 작성
번호 제목 작성자 조회수 작성
공지 [2024년] 오픈소스SW 라이선스 가이드 개정판 발간 file support 7692 2024-01-03
공지 [2024년] 기업 오픈소스SW 거버넌스 가이드 개정판 발간 file support 5879 2024-01-03
공지 [2024년] 공공 오픈소스SW 거버넌스 가이드 개정판 발간 file support 5815 2024-01-03
공지 공개 소프트웨어 연구개발(R&D) 실무 가이드라인 배포 file support 18361 2022-07-28
공지 공개소프트웨어 연구개발 수행 가이드라인 file OSS 17017 2018-04-26
414 [기획] 오픈소스로 가까워지는 로봇 시대 support1 5681 2022-03-28
413 [기고] 오픈소스와 로봇 support1 4019 2022-03-28
412 [2월 월간브리핑] SBOM이 사이버 보안을 개선하는 데 미치는 영향 support1 6234 2022-02-21
411 FINOS 보고서로 분석한 금융계의 오픈소스 현황과 도전과제 support 1851 2022-01-25
410 [1월 월간브리핑] 금융권의 적극적인 오픈소스 도입으로 IT 경쟁력 강화 추진 support 3159 2022-01-25
409 [기획]국내 금융기관의 오픈소스 활용 현황 support 6975 2022-01-24
408 [12월 월간브리핑] 과기정통부, '아파치 로그4j 2' 긴급 보안업데이트 권고 및 점검 실시 support 2450 2021-12-21
407 [11월 월간브리핑] '공개소프트웨어 활용 가이드 4종' 발간으로 오픈소스의 안전한 활용⋅확산 기대 support 2887 2021-11-23
406 [2021년] 개방형OS 도입 가이드 발간 2 file support 15361 2021-11-23
405 [2021년] 공공 공개소프트웨어 거버넌스 가이드 개정판 발간 file support 14035 2021-11-23
맨 위로
맨 위로