보안뉴스
소프트웨어 공급망 보안을 강화하려는 구글의 야심찬 계획, GUAC
| 입력 : 2022-10-25 17:46
#정보보호 #정보보안 #IT보안 #사이버보안 #구글
대통령이 앞장서서 그런지, 미국에서는 소프트웨어 공급망 보안이 거대한 화두가 되고 있다. 여러 가지 방법론들이 나오고 있지만 아직까지 정착된 것은 없다. 그러자 구글이 팔을 걷어부쳤다.
[보안뉴스 문가용 기자] 구글이 새로운 오픈소스 관련 프로젝트를 시작한다고 발표했다. 현재 보안 업계 최대 화두인 오픈소스 보안과 소프트웨어 공급망 보안에 대한 새로운 방향을 제시하려는 것으로 보인다. 이 프로젝트의 이름은 구악(GUAC)으로, ‘아티팩트 구성 이해를 위한 그래프(Graph for Understanding Artifact Composition)’의 준말이다. 개발자, 보안 담당자, 감사자 등에게 애플리케이션과 코드베이스를 구성하는 각 요소의 보안, 출처, 신뢰도 관련 정보를 일관적으로 제공하는 것이 GUAC의 목표다.
[이미지 = utoimage]
GUAC는 먼저 보안, 출처, 신뢰도와 같은 항목을 평가하기 위해 필요한 모든 정보를 수집하고 처리하게 될 것이라고 한다. 소프트웨어 물자표(SBOM), 공개된 취약점 정보, 특정 소프트웨어 구축 과정에 대한 상세 문건 등이 여기에 포함된다. 정보의 출처는 다양할 것으로 예상되며, 사용자들은 특정 소프트웨어에 대한 GUAC 분석 정보를 요청할 수도 있을 것이라고 한다. 그러므로 사용하고자 하는 소프트웨어 구성 요소에 어떤 취약점이 있으며, 잠재적 위험성도 미리 확인하는 게 가능하게 될 것으로 보인다.
구글에 의하면 GUAC은 소프트웨어와 보안 팀들이 특정 애플리케이션이 규정이나 정책을 준수하고 있는지, 연결된 모든 바이너리들이 안전한 리포지터리에서부터 추출된 것인지도 확인할 수 있을 거라고 한다.
다양한 활용 가능성
이처럼 GUAC은 주로 능동적으로 보안 취약점을 찾아 해결하는 식의 운영에 적합하지만, 사건이 벌어진 후 움직이는 ‘대응형 보안’에서도 유용할 것이라고 한다. “예를 들어 새로운 취약점이 공개되었다고 했을 때, 조직들은 GUAC을 사용해 소프트웨어의 어떤 부분들이 해당 취약점의 영향을 받는지 보다 빠르게 확인할 수 있습니다. 또한 특정 오픈소스 요소가 지원 종료 되었을 때도 GUAC을 통해 개발자들과 보안 담당자들이 환경에 미치는 영향을 빠르고 정확하게 평가할 수 있습니다.” 구글의 설명이다.
구글 오픈소스 보안 팀의 수석 엔지니어 브랜든 럼(Brandon Lum)은 “각 조직들은 GUAC을 내부적으로 구축하거나 외부 소프트웨어 점검 플랫폼으로 활용할 수 있다”고 말한다. “GUAC은 다양한 곳으로부터 필요한 정보들을 수집합니다. 깃허브, 시그스토어, 오픈소스 패키지 관리자 등도 여기에 포함됩니다. 그렇기 때문에 설정에 따라 특정 벤더의 제품이나 인증서 정보도 설정하여 빠르게 맞춤형 점검을 실시할 수도 있게 됩니다.”
이렇게 소프트웨어 구성 요소들의 메타데이터를 여러 곳에서 수집하여 분석하는 건 최근 공급망 공격이 거세지면서 기업들이 독자적으로 하나 둘 실시하던 것이다. 공격자들은 소프트웨어 개발에 널리 사용되는 요소들을 미리 감염시키거나, 기업의 정상적인 업데이트 파일에 악성 코드를 덧붙인 뒤 배포함으로써 큰 공격 효과를 거둔다. 깃허브 등과 같은 코드 리포지터리도 주요 공격 대상이 되고 있다.
파편화 때문에
그렇기 때문에 최근 소프트웨어나 애플리케이션의 보안은 완성품만이 아니라 구성 요소 하나하나까지도 관심의 대상으로 삼고 있다. 에스밤(SBOM)이라고 불리는 소프트웨어 물자표가 빠르게 도입되는 것도 이 때문이다. 정부 기관들까지 나서서 표준에 준하는 방법론들을 제시하고 있다. 바이든 미국 대통령은 2021년 5월 연방 정부 기관에서 사용되는 소프트웨어들에는 소프트웨어 물자표가 반드시 첨부되어 있어야 한다고 명령을 내리기도 했다.
이렇게 되다보니 다들 소프트웨어 구성 요소를 보호하기 위한 나름의 방법들을 찾아내기 시작했고, 따라서 현재 소프트웨어의 각 요소들을 안전하게 점검하고 활용하게 한다는 방법론들은 중구난방이다. SBOM조차 통일된 규격이나 표준 같은 건 아직 없다. 이 때문에 뭔가를 하나로 통일해 정하고 일을 진행하자는 목소리가 나오고 있고, 구글의 GUAC이 자연스럽게 이런 필요를 충당할 지도 모른다는 기대감이 생겨나고 있다.
보안 업체 쓰레트쿼션트(ThreatQuotient)의 생태계 구축 책임자 니겔 하우튼(Nigel Houghton)은 “시장에 이미 소프트웨어 공급망 보안을 위한 소프트웨어와 방법론들이 여러 개 존재한다”고 말한다. “소프트웨어 물자표 작성 방법과 포맷도 꽤나 많죠. 특정 소프트웨어를 검사하는 솔루션들도 여러 개 있고요. 소프트웨어 출처와 구성 요소들을 추적할 수 있는 플랫폼들도 많습니다. 마음만 먹으면 누구나 뭔가 시도해볼 수는 있는 상태라는 겁니다. 다만 너무나 그 종류가 너무나 많다는 게 문제였죠. 구글의 GUAC이 이렇게 파편화 된 노력들을 하나로 뭉칠 수 있을지 궁금합니다.”
하우튼은 그런 맥락에서 GUAC이 성공적으로 출시된다면 소프트웨어 개발사는 물론 일반 개개인들에게도 좋은 소식이 될 것이라고 보고 있다. “결국 소프트웨어 공급망에 대한 가시성을 높여주는 도구가 될 테니까요. 벤더사들은 고객들에게 자신들의 소프트웨어 공급망이 깨끗하다는 것을 보여줄 수 있게 되고, 구매자들은 좀 더 확실하게 소프트웨어의 안전을 확인할 수 있게 됩니다. 뿐만 아니라 소프트웨어 관리에 있어서도 적잖은 도움이 될 것입니다.”
GUAC 관전 포인트
API 보안 전문 업체 스택호크(StackHawk)의 CSO 스콧 걸라흐(Scott Gerlach)는 “오픈소스 취약점을 투명하게 보고 관리한다는 건 좋은 시도이긴 하나 근본적인 해결책이 되지 못한다”는 의견이다. “오픈소스 개발자들부터 취약점이 없는 소프트웨어를 만들어 공유해야만 문제가 근본적으로 해결됩니다. 아무리 GUAC이 효과적으로 소프트웨어들의 구성 요소를 관리한다 하더라도 오픈소스 개발자들이 계속해서 취약한 결과물을 퍼트린다면 큰 소용이 없을 겁니다.”
걸라흐는 “결국 IT와 보안 업계 전부가 오픈소스 프로젝트에 참여하는 개발자들이 안전하게 개발 행위를 할 수 있도록 분위기를 조성하는 게 중요하다”고 말한다. “그들이 굳이 GUAC과 같은 플랫폼을 사용해 구성 요소 하나하나를 점검해가며 프로그래밍을 할 이유가 뭘까요? 아니, 그렇게 했을 때 그들이 얻어가는 게 뭘까요? GUAC을 사용하여 안전한 소프트웨어를 만들었을 때 개발자들에게도 돌아가는 게 있어야 합니다. 그러면 GUAC은 큰 성공을 거둘 거라고 봅니다.”
하우튼도 이 말에 동의한다. “결국 개발자들을 비롯해 소프트웨어 산업 전체가 소프트웨어 공급망 보안을 위한 움직임에 참여하느냐 마느냐가 문제입니다. 그 문제가 현재 소프트웨어 공급망 보안의 막힌 혈인데, GUAC이 이를 정확히 뚫어낼 수 있을지가 관건입니다. 아직은 GUAC에 대하여 공개된 내용이 크게 없어 미리 판단할 수는 없겠습니다만, 일종의 관전 포인트가 될 것은 분명합니다.”
보안 업체 벌칸사이버(Vulcan Cyber)의 수석 기술 엔지니어 마이크 파킨(Mike Parkin)은 또 다른 문제가 있음을 지적한다. “다양한 출처의 정보를 수집하여 분석한다는 게 말이 쉽지, 실제로 수행하는 건 꽤나 까다로운 일입니다. 다량의 정보를 안정적인 출처로부터 수집하여 통합하고, 정규화하여 분석한다는 게 구글 엔지니어들의 첫 번째 큰 산이 되지 않을까 합니다. 개념 자체야 누구나 생각할 만 하지만 구현이 어려우니 아무도 못한 것이죠. 구글이 이 어려운 걸 해낼 수 있을지부터 의문입니다.”
3줄 요약
1. 구글, 오픈소스와 소프트웨어 공급망 관리 위한 통합 플랫폼 GUAC 개발 착수.
2. 소프트웨어 공급망을 안전하게 관리해야 할 방법론은 이미 다양한데 GUAC이 통일할 수 있을까.
3. 결국 소프트웨어 시장 내 활동하는 개발자들의 참여를 유도해야 의미 가짐.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
(머니투데이 김인한) 먼지 찾던 美 NASA, 온실가스 주범 '메탄 ...
(중앙 류장훈) 뇌졸중은 고혈압, 치매는 '이것'...내 뇌 노린 ...
