공급망 공격 때문에 난리다. 지난 해 말부터 시작해 솔라윈즈 사태, 익스체인지 사태, 액셀리온 사태 등이 연이어 터지더니 오늘은 보안 카메라를 통한 공급망 공격도 있었다. 이런 상황에서 리눅스재단이 여러 조직들과 손을 잡고 디지털 서명을 누구나 쉽고 안전하게 사용할 수 있도록 시그스토어라는 것을 고안했다.
리눅스재단(Linux Foundation)이 새로운 프로젝트인 시그스토어(Sigstore)를 발표했다. 오픈소스 소프트웨어의 공급을 보다 안전하게 만들기 위해서 시작된 프로젝트라고 하며, 개발자들이 소프트웨어 개발 과정에서 암호화 서명을 보다 쉽고 간편하게 도입시킬 수 있게 하는 것이 목적이라고 한다. 최근 자주 발생하고 있는 공급망 공격에 대한 대비책이 될 수 있을 것으로 기대되고 있다.
[이미지 = utoimage]
시그스토어는 이미 개발자들과 소프트웨어 개발사에 무료로 제공되고 있다. 시그스토어를 통해 개발자들은 공개 파일, 컨테이너 이미지, 바이너리 등과 같은 소프트웨어 요소들에 안전한 서명을 할 수 있게 된다. 서명이 완료된 요소들은 침해나 감염, 조작 등이 불가능한 공공 로그에 저장된다. 이 서비스의 유지와 관리, 향상은 오픈소스답게 시그스토어 커뮤니티에서 담당할 수 있다고 한다.
시그스토어 프로젝트에 참여한 회원들은 레드햇(Red Hat), 구글(Google), 퍼듀대학(Purdue University)이다. 시그스토어를 제일 먼저 주창한 건 레드햇의 보안 수석 엔지니어인 류크 힌즈(Luke Hinds)다. 시그스토어에 대한 아이디어를 구글 소프트웨어 엔지니어인 댄 로렌크(Dan Lorenc)에 전달했고, 둘은 의기투합해 작업을 시작했다. 현재는 커뮤니티가 형성되어 있어 여러 사람이 개발과 향상, 수리 및 보완 등에 참여하고 있다고 한다.
소프트웨어의 공급망은 여러 모로 취약하며, 최근 들어 그 사실이 극명하게 드러나고 있는 상황이다. 공급망에 침투한 공격자들은 특정 사용자를 표적으로 삼아 공격하기도 하고, 계정을 탈취하거나 암호화 키를 침해한다.
소프트웨어 프로젝트가 시작되고 완성되기까지 여러 개의 키들을 활용하는 게 보통인데, 여기에는 더 이상 프로젝트에 관여하지 않는 사람들의 키까지도 포함되어 있을 때가 많다. 또한 이 키들은 깃 리포지터리의 리드미 파일들이나 웹사이트에 저장되는데, 접근과 조작이 간단하다. 그래서 암호화 키들은 소프트웨어 유지 관리를 담당하는 입장에서 관리가 매우 까다로운 요소 중 하나다.
이렇게 까다로운 키는 소프트웨어 요소들을 ‘서명’하는 데 필요하다. 이 요소는 신뢰할만한 표시를 남기는 것이 바로 이 서명이다. 원칙적으로는 믿을만한 개발자나 소프트웨어 벤더사들만 서명을 할 수 있기 때문이다. 서명을 본 순간 개발자들이나 사용자들은 ‘이 소프트웨어는 출처에 아무런 이상이 없고, 따라서 신뢰할 수 있어’라고 생각하게 된다. [기사 더보기]
[출처 : 보안뉴스(https://www.boannews.com/)]
[기자 : 문가용 기자((globoan@boannews.com))]