소프트웨어 제품을 보호하는 전통적인 접근 방식은 사용자 지정 코드의 취약점을 제거하고 타사 종속성에 따른 알려진 위험으로부터 애플리케이션을 보호하는 데 중점을 둡니다. 그러나 이 방법은 부적절하며 소프트웨어 공급망에서 발생하는 위협의 전체 범위를 해결하지 못합니다. 생산부터 배포, 배포까지 이 체인의 모든 측면을 보호하지 않으면 조직이 악성 코드, 데이터 침해, 지적 재산 도난과 같은 공격에 노출됩니다. 이 중요한 단계를 무시하는 것은 조직의 보안을 심각하게 무시하는 것입니다.
이 기사에서는 소프트웨어 공급망을 대상으로 하는 사이버 공격의 증가 추세와 이러한 증가하는 위험에 대응하여 발생한 최근 규제 발전 및 모범 사례 프레임워크를 살펴보겠습니다. 또한 현재 애플리케이션 보안 조치를 능가하는 소프트웨어 공급망을 보호하기 위한 새로운 전략의 필요성에 대해서도 조명할 것입니다. 현재 애플리케이션 보안에 대한 투자가 어느 정도 보호를 제공하지만 이 영역의 사이버 보안 위험을 완전히 완화하지는 못하는 이유를 설명하겠습니다. 마지막으로, 완전한 보호를 위해 이를 보완하는 데 필요한 사항을 간략하게 설명하겠습니다.
완전한 백서의 경우 여기를 클릭하세요 >>>
소프트웨어 공급망 보안이 중요한 이유
소프트웨어 개발에 타사 도구, 라이브러리 및 오픈 소스 소프트웨어를 사용하면 소프트웨어 공급망의 복잡성과 잠재적인 취약점 및 공격 위험이 모두 증가합니다. 공격자는 공급망의 특정 링크를 표적으로 삼아 민감한 정보에 접근하거나 운영을 방해할 수 있습니다. 이러한 공격은 조직과 공급망 파트너에게 심각한 영향을 미칠 수 있습니다.
여러 가지의 낙진 소프트웨어 공급망 공격 최근 몇 년 동안 헤드라인 뉴스를 만들었습니다. 결과로서, 가트너가 예측했다. 최근에는 2025년까지 전 세계 조직의 45%가 소프트웨어 공급망에 대한 공격을 경험하게 될 것이며 이는 2021년보다 XNUMX배 증가한 수치입니다.
소프트웨어 공급망 보안이 주목을 받음에 따라 다양한 애플리케이션 보안 솔루션 공급업체가 이 분야의 솔루션을 제공하는 브랜드로 이름을 바꾸고 있습니다. 그러나 소프트웨어 공급망 보안은 단순히 기존 애플리케이션 보안의 새로운 용어입니까, 아니면 고유한 특성과 기술을 가진 별개의 시장 부문입니까? 소프트웨어 공급망 보안을 해결하기에 충분한 애플리케이션 보안(AppSec) 프로그램이 마련되어 있습니까? 아니면 조직에서 소프트웨어와 공급망의 보안을 보장하기 위해 별도의 표준과 기술을 채택해야 합니까? 이 질문은 기사에서 더 자세히 살펴볼 것입니다.
새로운 규제 및 모범 사례 프레임워크
이 어플리케이션에는 XNUMXµm 및 XNUMXµm 파장에서 최대 XNUMXW의 평균 출력을 제공하는 사이버 보안에 관한 미국 행정 명령 및 기타 유사한 규정은 소프트웨어 공급망 보안의 중요성이 커지고 조직이 소프트웨어와 공급망을 보호하기 위해 적절한 조치를 취해야 할 필요성을 반영합니다. 위협에 맞서기 위한 조치를 공동으로 도입하는 데 주요 주체들이 보여주는 관심 증가는 긍정적인 발전이며, 증가하는 위협을 해결하기 위해 업계 전반에 걸쳐 조정된 접근 방식이 필요하다는 인식이 커지고 있음을 나타냅니다.
소프트웨어 공급망 보안을 해결하기 위한 주요 이니셔티브에는 다음이 포함됩니다. 소프트웨어 개발 관행 강화; 공급망 가시성 개선; 안전한 소프트웨어 조달 관행을 구현합니다. 위협 인텔리전스 기능을 개발합니다. 전반적으로 이러한 이니셔티브는 공격 위험을 줄이고 소프트웨어에 취약점과 악성 코드가 없도록 보장하여 소프트웨어와 공급망의 보안을 강화하는 것을 목표로 합니다.
다음은 주요 이니셔티브에 대한 간략한 개요입니다.
- NIST의 SP 800-21 SSDF(Secure Software Development Framework)는 미국 정부 공급업체를 위한 소프트웨어 공급망 보안을 강화하는 것을 목표로 합니다. 이는 취약성과 향후 위협을 최소화하기 위해 조직의 SDLC에 안전한 개발 관행을 제공합니다. 지침은 사용자 정의가 가능하며 부문에 구애받지 않습니다. 이것을 읽어보세요 백서 SSDF가 소프트웨어 산업에 미치는 영향에 대해 자세히 알아보세요.
- 미국 관리예산처(OMB)는 2022년 소프트웨어 공급망 보안과 소프트웨어 공급망의 보안 및 무결성을 보장하는 SBOM의 역할에 관한 두 가지 메모를 발표했습니다. 조직은 2024년까지 이를 준수하고 소프트웨어와 공급망의 보안을 보장해야 합니다. 연방 기관은 정보 공유 및 공급업체로부터 유물 획득을 포함한 지침을 구현해야 합니다.
- 소프트웨어 아티팩트에 대한 공급망 수준(SLSA) 프레임워크는 소프트웨어 공급망의 무결성을 보장하도록 설계된 포괄적인 보안 제어 및 표준 세트입니다. OpenSSF, Google 및 기타 사이버 보안 이해관계자가 개발했습니다. 이 엔드투엔드 프레임워크를 따르면 소프트웨어 패키지에 대한 무단 변경을 방지할 수 있습니다. SLSA를 채택하면 일반적인 공급망 공격으로부터 보호할 수 있습니다.
- EU 사이버 탄력성법 EU 조직의 사이버 탄력성을 향상시키는 것을 목표로 합니다. 조직에서는 잠재적인 보안 취약성을 조기에 식별하고 해결하는 데 도움이 되도록 사용하는 모든 소프트웨어 제품에 SBOM을 사용할 수 있도록 해야 합니다. 이 법안은 또한 조직이 취약점을 보고하도록 요구합니다. ENISA/CERT-EU.
- 인터넷 보안 센터 (CIS) 코드 제공부터 최종 소비자에게 전달까지 소프트웨어 공급망의 단계를 다루는 CIS 소프트웨어 공급망 보안 가이드를 개발했습니다. 이 가이드는 보안 프로그램 수립, 안전한 개발 관행 구현, 공급업체에 대한 정기적인 보안 평가 수행, 배포 및 배포를 위한 보안 통제 구현, 지속적인 취약성 및 공격 모니터링 등 소프트웨어 공급망 보안을 위한 모범 사례를 제공합니다.
- 시그스토어 소프트웨어 공급망 보안에 초점을 맞춘 오픈 소스 프로젝트입니다. 이는 개방적이고 투명하며 접근 가능한 방식으로 소프트웨어 공급망을 더욱 안전하게 보호할 수 있는 방법을 제공합니다. 소프트웨어 공급망 보안의 핵심은 애플리케이션을 구성하는 다양한 아티팩트에 디지털 방식으로 서명하는 것입니다. Sigstore는 기존 디지털 서명 솔루션에 비해 간단하고 빠른 솔루션을 제공하여 어디서나 쉽게 소프트웨어 서명을 할 수 있도록 하는 것을 목표로 합니다. 또한 프로젝트는 공개적이고 변경할 수 없는 활동 로그를 생성합니다.
AppSec 분야의 목표와 임무
성숙한 소프트웨어 생산업체의 AppSec 팀은 개발자 교육, 코드 검토, 자동 스캔 및 종속성 모니터링을 통해 소프트웨어 보안에 중점을 두고 있습니다. 가장 일반적인 도구는 애플리케이션 테스트를 위한 정적 및 동적 애플리케이션 소프트웨어 테스트(SAST 및 DAST)와 오픈 소스 종속성의 알려진 취약점을 탐지하는 소프트웨어 구성 분석(SCA)입니다.
진화하는 위협 환경에 대처하기 위해 몇 가지 새로운 솔루션이 고안되고 채택되었습니다. 그러한 솔루션 중 하나는 조직이 자격 증명, API 키, 코드에서 의도하지 않게 공개되었을 수 있는 민감한 데이터와 같은 비밀을 식별하는 데 도움이 되는 비밀 탐지 도구를 사용하는 것입니다. 또한 클라우드 컴퓨팅 환경에서 컨테이너 및 코드형 인프라(IaC)의 취약점을 탐지하는 새로운 검사 도구가 개발되어 조직이 클라우드로 전환할 때 애플리케이션의 보안을 보장할 수 있습니다.
다양한 보안 도구를 관리하기 위해 SDLC 전반에 걸쳐 통합된 보안 보기를 제공하는 오케스트레이션 솔루션이 등장했습니다. 이러한 솔루션은 보안 도구 및 정책 관리를 중앙 집중화하여 보안 프로세스를 간소화하고 취약점이 누락될 위험을 줄입니다.
보안 경고의 분류, 중복 제거 및 우선 순위 지정은 AppSec 소유자가 직면한 주요 과제 중 하나입니다. 경고의 양을 관리하고 즉각적인 주의가 필요한 경고와 무시할 수 있는 경고를 결정하는 것은 부담스러울 수 있습니다. 또한 AppSec 소유자는 특정 시스템에 대한 취약점의 영향을 평가해야 하며, 이를 위해서는 기술 스택과 애플리케이션에 대한 깊은 이해가 필요합니다.
AppSec 접근 방식은 코드 작성부터 빌드, 패키징 및 테스트까지 SDLC를 다루며 사용자 정의 코드와 오픈 소스 구성 요소 모두의 취약점을 줄여 소프트웨어 생산자와 운영자의 책임을 완화하는 데 중요합니다. 이 분야의 주요 공급업체로는 Veracode, Checkmarx, Snyk, Synopsis 및 Fossa가 있습니다.
아래 다이어그램은 AppSec 시장에 대한 간략한 개요를 제공하며 여러 주요 업체를 보여줍니다.
AppSec 솔루션은 알려진 취약점과 안전하지 않은 코드 패턴을 탐지하는 데 효과적일 수 있지만 사전 대응보다는 사후 대응적인 경향이 있습니다. 공격 표면을 사전에 줄이지 않습니다. 더욱이, 스캐너에서 생성되는 대량의 오탐지 경고로 인해 개발자가 가장 중요한 보안 문제에 집중하는 것이 어려울 수 있습니다. 또한 스캐닝 프로세스는 시간이 많이 걸리고 개발 타임라인에 방해가 되어 개발 프로세스에 마찰을 가중시키고 새로운 소프트웨어 출시 속도를 늦출 수 있습니다.
소프트웨어 공급망 보안의 새로운 역할
AppSec 솔루션은 공격에 취약하고 소프트웨어 공급망에 영향을 미칠 수 있는 SDLC 영역을 간과합니다. 이러한 영역에는 취약성과 잘못된 구성이 포함될 수 있는 개발 도구, 코드 저장소, 소스 코드 관리 시스템, 빌드 서버 및 아티팩트 레지스트리 시스템이 포함됩니다.
반면, 소프트웨어 소비자의 관점에서 볼 때 일반적인 우려는 타사 소프트웨어로 인해 감지 및 완화가 어려운 보안 취약점이 발생할 수 있다는 것입니다. 소비자는 자신이 사용하는 소프트웨어를 철저하게 평가하고 조사할 뿐만 아니라 정기적으로 모니터링하고 업데이트하여 이러한 위험을 줄이는 것이 중요합니다.
이러한 과제를 극복하려면 소프트웨어 생산자와 소비자 모두 더 폭넓은 접근 방식을 채택해야 합니다. 소프트웨어 생산자는 SDLC의 모든 단계를 통합하고 자동화된 도구를 활용하여 보안 위협을 해결해야 합니다.
- CI/CD 자세 관리 – 소프트웨어 공급망을 보호하려면 보안 SDLC가 중요합니다. CI/CD 상태 관리는 검색을 자동화하고 보안 관행을 시행합니다. 개발 환경에서 SDLC 및 보안 인프라 사용에 대한 가시성은 오늘날 기업의 과제입니다. CI/CD 상태 관리에는 서버 인증, 공개 저장소/버킷에 대한 제한 및 키 만료가 포함되어야 합니다. 확인되지 않은 리소스 실행, 외부에서 변경된 이미지 참조 등 위험한 개발 관행을 제한하면 소프트웨어 보안이 향상되고 공급망 공격 위험이 줄어듭니다.
- 증명 및 출처 – 소프트웨어 공급망 보안을 유지하려면 증명(소프트웨어 진위 확인)과 출처 추적(원본, 소유권 및 보관)이 필요합니다. 증명 및 출처는 신뢰 결정을 알리고 개발 시 변조 위험, 취약성 및 부적절한 보안을 줄이면서 업계 표준 준수를 보장합니다.
증명 및 출처를 효과적으로 구현하려면 소스 코드 관리자, CI 도구, 빌드 서버 등과 같은 소스의 증거를 수집하고 암호화하여 서명해야 합니다. 증거에는 개발자 신원, 코드 검토 증명, 파일/아티팩트 해시 및 도구의 보안 상태가 포함됩니다. 증명에 대한 정책은 보안 개발 및 빌드, 변조 검증, SSDF 및 SLSA와 같은 표준 준수를 보장합니다.
기존 API 및 관측성 솔루션은 증거를 수집하고, 증명에 서명하고, 출처 추적을 생성할 수 없습니다. SDLC 중에 생성된 데이터를 추적하고 무결성과 신뢰성에 대한 증거에 서명하려면 새로운 에이전트를 개발해야 합니다.
같은 목적으로, SDLC를 넘어 소프트웨어 생산자와 소비자 모두 다음을 달성할 수 있는 수단을 모색해야 합니다.
- 지속적인 규정 준수 – 지속적인 검증을 통해 배포 후에도 규정 준수를 유지하고 취약점으로부터 보호할 수 있습니다. 여기에는 전체 소프트웨어 개발 및 배포 프로세스 전반에 걸쳐 소프트웨어 구성 요소의 보안을 지속적으로 모니터링하고 확인하는 작업이 포함됩니다. SBOM은 프로젝트에 사용되는 소프트웨어 구성 요소와 해당 버전을 나열하는 지속적인 검증을 위한 중요한 도구입니다. SBOM은 취약성 스캔을 촉진하고, 조직이 잠재적인 보안 위협에 앞서도록 돕고, SSDF와 같은 규정 및 표준을 준수하도록 보장합니다.
- SBOM 및 증명을 공유하고 지속적으로 위험을 모니터링합니다. – SBOM을 보유하고 잠재적 위험을 지속적으로 모니터링하는 것은 소프트웨어 보안 및 규정 준수를 유지하는 데 중요합니다. SBOM은 소비자에게 위험을 관리하고, 취약성을 감지하고, 평판이 낮은 구성 요소를 거부하고, 증명을 통해 공급망 보안을 보장하는 방법을 제공합니다.
위의 4가지 사항은 소프트웨어 공급망 보안의 4가지 초석이자 이 분야의 솔루션 선택 기준입니다.
결론
소프트웨어 개발 및 타사 구성 요소 사용이 계속 확대됨에 따라 소프트웨어 공급망 보안에 대한 포괄적이고 통합된 접근 방식의 필요성이 점점 더 중요해지고 있습니다. 기존 AppSec 조치는 여전히 중요하지만 진화하는 위협 환경을 완벽하게 보호하기에는 더 이상 충분하지 않습니다. 따라서 조직은 소프트웨어 공급망의 보안을 보장하기 위해 보다 전체적인 접근 방식을 채택해야 합니다.
진화하는 보안 문제를 극복하기 위해 현재 우리는 애플리케이션 보안이 소프트웨어 공급망 보안으로 진화하는 것을 목격하고 있습니다. 여기에는 이러한 과제를 해결하기 위한 차세대 기술과 새로운 도구가 포함됩니다. 소프트웨어 생산자는 최신 프레임워크와 도구를 활용하는 새로운 보안 기술을 통합해야 하며 이를 SDLC의 모든 단계에 통합하고 CI/CD 상태 관리, 증명 및 출처 기술, 지속적인 코드 서명과 같은 자동화된 도구를 사용해야 합니다. 지속적인 규정 준수, 거버넌스, 정확하고 충실도가 높은 SBOM. 소프트웨어 소비자는 전체 수명 주기 동안 프로덕션에 소프트웨어를 배포하기 전후에 지속적으로 사용하는 소프트웨어의 모든 보안 측면에 대한 SBOM 및 추가 증거 기반 증명을 요구해야 합니다.
다음과 같은 자동화된 도구 및 솔루션 학자 소프트웨어 개발 수명 주기 및 소프트웨어 구성 요소의 신뢰성을 입증할 수 있는 증거 기반의 지속적인 코드 보안 보증 플랫폼을 제공하여 조직이 새로운 수준의 보안을 달성하도록 지원합니다.
완전한 백서의 경우 여기를 클릭하세요 >>>
이 콘텐츠는 소프트웨어 공급망 전반에 걸쳐 코드 아티팩트와 코드 개발 및 전달 프로세스에 최첨단 보안을 제공하는 선도적인 엔드투엔드 소프트웨어 공급망 보안 솔루션 제공업체인 Scribe Security에서 제공합니다. 자세히 알아보기.