현대 소프트웨어의 70~90%는 오픈소스와 서드파티 컴포넌트로 구성된다. 공격자들은 이 점을 노려 신뢰받는 공급망을 침투 경로로 활용한다. 2020년 SolarWinds 사태에서는 빌드 파이프라인에 악성코드를 삽입하여 18,000개 이상의 조직에 백도어가 배포되었고, 2021년 Log4Shell은 전 세계 수억 개 Java 애플리케이션이 영향을 받았다.
소프트웨어 공급망 보안이란 소프트웨어가 설계·개발·빌드·배포·운영되는 전 과정에서 외부 컴포넌트·도구·프로세스를 통해 유입되는 보안 위협을 식별하고 관리하는 체계이다.
| 위협 유형 | 공격 방법 | 대표 사례 |
|---|---|---|
| 빌드 파이프라인 오염 | CI/CD 서버 침투 → 배포 아티팩트에 악성코드 삽입 | SolarWinds SUNBURST (2020) |
| 오픈소스 취약점 | 널리 사용되는 라이브러리의 알려진 CVE 악용 | Log4Shell (CVE-2021-44228) |
| 의존성 혼동(Dependency Confusion) | 내부 패키지명과 동일한 악성 공개 패키지 업로드 | Microsoft·Apple 등 35개사 피해 (2021) |
| 타이포스쿼팅(Typosquatting) | 유명 패키지와 유사한 이름의 악성 패키지 배포 | npm 악성 패키지 (colouurs, lodahs 등) |
| 계정 탈취 | 패키지 유지관리자 계정 해킹 → 악성 버전 배포 | event-stream npm 패키지 (2018) |
SBOM(Software Bill of Materials, 소프트웨어 구성요소 명세서)이란 소프트웨어에 포함된 모든 컴포넌트·라이브러리·의존성의 목록과 버전·라이선스·출처 정보를 기록한 공식 문서다. 식품의 성분표처럼, 소프트웨어의 구성 성분을 투명하게 공개하여 취약점 발생 시 영향 범위를 즉시 파악하게 한다.
| 구분 | SPDX | CycloneDX |
|---|---|---|
| 주관 | Linux Foundation (ISO/IEC 5962 표준) | OWASP |
| 포맷 | JSON, YAML, RDF, Tag-Value | JSON, XML |
| 강점 | 라이선스 컴플라이언스 관리에 강함 | 보안 취약점 연계(VEX) 기능 풍부 |
| VEX 지원 | 별도 확장 필요 | 기본 내장 (CVE 영향 여부 명시) |
| 도구 연계 | FOSSology, REUSE | Syft, Grype, Trivy |
Log4Shell 발생 시 SBOM이 있는 조직은 영향을 받는 시스템을 평균 수 시간 내에 파악했지만, 없는 조직은 수 주가 걸렸다. SBOM의 실질적 가치를 보여주는 대표적 사례다.
SLSA(Supply chain Levels for Software Artifacts, “살사”)는 Google이 제안하고 OpenSSF에서 관리하는 빌드 파이프라인 보안 성숙도 프레임워크다. 소프트웨어 아티팩트(빌드 결과물)의 무결성을 보장하기 위한 4단계 체계를 정의한다.
| SLSA 레벨 | 요구사항 | 방어하는 위협 |
|---|---|---|
| Level 1 | 빌드 프로세스 문서화, SBOM 생성 | 실수에 의한 아티팩트 오염 방지 |
| Level 2 | 버전관리 사용, 빌드 서비스에서 생성한 Provenance(출처증명) 제공 | 소스 수정 후 재빌드 공격 |
| Level 3 | 소스·빌드 무결성 검증, 격리된 빌드 환경 | 빌드 서버 침투를 통한 아티팩트 오염 |
| Level 4 | 2인 이상 리뷰, 재현 가능 빌드(Reproducible Build) | 내부자 위협, 지속적인 탈취 공격 |
SBOM = 소프트웨어 성분표 | 포맷: SPDX(라이선스 강점) vs CycloneDX(보안 강점)
SLSA = 빌드 파이프라인 무결성 4단계 (Level 1 문서화 → Level 4 재현가능 빌드)
주요 위협: SolarWinds(빌드 오염) · Log4Shell(오픈소스 취약점) · Dependency Confusion
코스피 8% 폭락, 서킷브레이커 발동, SK텔레콤 Claude AI 차단까지. 한국의 AI 레버리지 버블이 단 하루…
SNS 사진 1장으로 30초 만에 딥페이크 영상이 완성됩니다. 당신의 얼굴이 이미 범죄에 악용되고 있을 수…
SNS 사진 1장으로 30초 만에 딥페이크 영상이 완성됩니다. 당신의 얼굴이 이미 범죄에 악용되고 있을 수…
달러/원 환율이 급등하는 이유와 실생활 영향을 정리했습니다. 지금 당장 활용할 수 있는 환전·투자 대응 전략까지…
미래에셋·미래에셋벤처투자·미래에셋생명이 동반 급등한 이유는 스페이스X 상장 기대감입니다. 세 회사가 스페이스X와 어떻게 연결되어 있는지 상세히 분석했습니다.
스페이스X 상장이 계속 미뤄지는 진짜 이유를 파헤쳤습니다. 화성 계획, 스타링크 분리, 국방 계약... 머스크가 절대…