최근 소프트웨어 공급망 공격이 증가하고 있다. 다음 내용을 설명하시오.
가. 소프트웨어 공급망 공격의 개념과 대표적 사례
나. SBOM(Software Bill of Materials)의 개념과 구성요소
다. SCA(Software Composition Analysis) 도구 활용 방안
라. CI/CD 파이프라인에서의 공급망 보안 강화 방안
SolarWinds, Log4Shell, XZ Utils 사태 이후 소프트웨어 공급망 보안은 정보보안의 최우선 과제가 됐습니다. 미국 행정부 행정명령(EO 14028)에서도 SBOM 의무화를 명시했습니다. 개념 정의를 넘어 실제 CI/CD 파이프라인에 어떻게 적용하는지를 실무적으로 서술하는 것이 핵심입니다.
소프트웨어 공급망 공격(Software Supply Chain Attack)은 신뢰할 수 있는 소프트웨어 배포 경로(개발도구, 오픈소스 라이브러리, 업데이트 서버)를 침해하여 다수의 다운스트림 피해자에게 악성코드를 전파하는 공격입니다.
| 사례 | 공격 방식 | 피해 |
|---|---|---|
| SolarWinds (2020) | 빌드 시스템 침해, 정상 업데이트에 백도어 삽입 | 18,000개 기관 감염, 미국 정부기관 포함 |
| Log4Shell (2021) | 오픈소스 Log4j 취약점 악용, 원격 코드 실행 | 전 세계 수억 개 서버 영향 |
| XZ Utils (2024) | 2년간 신뢰 구축 후 오픈소스 압축 라이브러리에 백도어 삽입 | SSH 인증 우회 가능성 |
| npm/PyPI 타이포스쿼팅 | 인기 패키지와 유사한 이름의 악성 패키지 배포 | 개발자 무심코 설치 유도 |
SBOM(소프트웨어 자재 명세서)는 소프트웨어를 구성하는 모든 컴포넌트(오픈소스·상용·자체 개발), 라이브러리, 의존성, 라이선스 정보를 체계적으로 기록한 목록입니다. 식품의 ‘성분 표시’처럼 소프트웨어의 구성 성분을 투명하게 공개합니다.
| 구성요소 | 내용 | 예시 |
|---|---|---|
| 컴포넌트 이름 | 라이브러리·패키지 명칭 | Log4j-core |
| 버전 정보 | 정확한 버전 번호 | 2.14.1 |
| 공급자 정보 | 개발사·유지보수 주체 | Apache Software Foundation |
| 라이선스 | 오픈소스 라이선스 종류 | Apache 2.0 |
| 의존성 관계 | 컴포넌트 간 의존 구조 | A→B→C 트리 |
| 체크섬/해시 | 무결성 검증 값 | SHA-256 해시 |
| 알려진 취약점 | 연관 CVE 정보 | CVE-2021-44228 |
표준 형식: SPDX(Linux Foundation), CycloneDX(OWASP), SWID(ISO/IEC 19770-2)
SCA(소프트웨어 구성 분석)는 프로젝트에 포함된 오픈소스 컴포넌트를 자동으로 탐지하고 알려진 취약점(CVE)·라이선스 위반을 검출하는 도구입니다.
코스피 8% 폭락, 서킷브레이커 발동, SK텔레콤 Claude AI 차단까지. 한국의 AI 레버리지 버블이 단 하루…
SNS 사진 1장으로 30초 만에 딥페이크 영상이 완성됩니다. 당신의 얼굴이 이미 범죄에 악용되고 있을 수…
SNS 사진 1장으로 30초 만에 딥페이크 영상이 완성됩니다. 당신의 얼굴이 이미 범죄에 악용되고 있을 수…
달러/원 환율이 급등하는 이유와 실생활 영향을 정리했습니다. 지금 당장 활용할 수 있는 환전·투자 대응 전략까지…
미래에셋·미래에셋벤처투자·미래에셋생명이 동반 급등한 이유는 스페이스X 상장 기대감입니다. 세 회사가 스페이스X와 어떻게 연결되어 있는지 상세히 분석했습니다.
스페이스X 상장이 계속 미뤄지는 진짜 이유를 파헤쳤습니다. 화성 계획, 스타링크 분리, 국방 계약... 머스크가 절대…