6월 3일부터 격주 월요일 '심호성의 K-오픈소스'를 연재합니다. 'K-오픈소스'는 한국 주도로 세계에 나아가고, 다양한 산업과 지역에 실용적으로 연계되며, 인공지능(AI) 및 공급망 체계 등 새로운 소프트웨어(SW) 개발문화에 기여하는 오픈소스 전략개념입니다. 이를 실현하기 위해 한국공개소프트웨어협회(KOSSA)는 ▲K-오픈소스 포럼(전문가-기업-지역 협력) ▲K-오픈소스X(산업과 오픈소스가 만나는 국제행사) ▲오기정닷컴(오픈소스 기업·정보 제공) ▲KOSSA OSPO(교육·컨설팅) 등 체계적인 시스템을 운영하고 있습니다. 대한민국의 SW 밸류업(Value up)을 위한 이러한 활동의 경험을 나누고자 'K-오픈소스' 기업과 전략을 소개합니다. [편집자주]
최근 소프트웨어 공급망 공격이 급증하며 심각한 우려를 낳고 있다. 공급망 공격은 디지털 제품이나 서비스의 공급망을 대상으로 하는 사이버 공격으로 그 파급력과 은밀성으로 인해 특히 위험하다.
2020년 말 발생한 ‘솔라윈즈(SolarWinds) 공격 사건’은 소프트웨어 공급망 공격의 심각성을 전 세계에 각인시켰다. 미국 정부 기관과 대기업들이 대거 피해를 입은 이 사건은 신뢰할 수 있는 소프트웨어를 이용한 공격을 통해 정부 기관과 대기업을 포함한 수많은 조직이 영향을 받을 수 있음을 보여주었다.
날로 증가하는 공급망 공격으로 발생하는 피해를 최소화하기 위해 공급망 보안의 중요성이 그 어느 때보다 부각되고 있다. 특히 현대 소프트웨어 개발에서 오픈소스의 사용이 보편화됨에 따라 오픈소스 중심의 공급망 보안 전략이 필수적으로 요구되고 있다.
오픈소스 소프트웨어는 그 투명성과 높은 유연성으로 인해 많은 장점을 가지고 있다. 하지만 동시에 존재하는 취약점이 널리 공개돼 공격의 표적이 되기 쉽다. 따라서 사용 중인 오픈소스 소프트웨어의 종류와 존재하는 취약점을 정확히 파악하고 체계적으로 관리·대응해 안전하게 사용하는 것이 공급망 보안의 핵심 과제로 떠올랐다.
이러한 시대적 요구에 부응해 소프트웨어 공급망 보안 분야에서 우수한 기술력과 서비스를 제공하는 기업인 스패로우(Sparrow)가 주목받고 있다.
“스패로우는 소프트웨어의 안전을 지켜주는 든든한 지킴이, 최고의 파트너입니다.” 설립 때부터 회사를 성장시켜 온 장일수 대표의 말이다.
장일수 대표는 “스패로우의 역량은 사람 중심으로 직원들을 믿고 함께 가는 오픈소스 방식을 바탕으로 한다. 최근 3년간 직원이 매년 20% 이상 늘고 있다. 이러한 탄탄한 내부 신뢰는 제품의 섬세한 품질로 고스란히 반영돼 고객가치를 극대화시킬 것이다”고 말했다.
스패로우는 2018년 5월에 설립된 소프트웨어 보안·품질 전문 기업으로 소프트웨어 개발 생명 주기 전 단계에 필요한 애플리케이션 보안 테스팅 도구들을 하나의 솔루션으로 통합하고 조직의 규모나 비즈니스 환경에 적합한 형태로 맞춤 서비스를 제공하고 있다. 특히 스패로우가 보유하고 있는 오픈소스 분석·관리 도구 ‘스패로우 SCA’는 안전한 오픈소스 소프트웨어 사용을 통한 공급망 보안의 실현을 위해 필수적인 요소 중 하나다.
안전한 오픈소스 소프트웨어의 사용을 위해 우선적으로 수행돼야 하는 것은 여러 가지 형태로 사용되고 있는 오픈소스 소프트웨어를 파악하는 일이다. 스패로우의 오픈소스 분석 기술은 소스코드, 바이너리나 패키지 매니저를 통해 사용되는 오픈소스 소프트웨어는 물론 컨테이너 이미지 형태로 포함되는 형태까지 분석을 지원한다. 이는 현대 소프트웨어 개발 환경의 다양성과 복잡성을 고려할 때 매우 중요한 요소이며 다양한 형태로 사용되는 오픈소스 소프트웨어를 분석할 수 있는 스패로우의 기술력은 큰 강점으로 작용한다.
식별된 오픈소스 구성요소들의 관리를 위해서는 소프트웨어 자재 명세서(Software Bill of Materials, 이하 SBOM)를 활용한 방안이 크게 부각되고 있다. SBOM은 소프트웨어를 구성하는 모든 구성요소의 목록과 그 출처, 라이선스, 버전 정보 등을 포함하는 문서로, 소프트웨어의 투명성과 추적성을 높이는 데에 사용된다. 스패로우의 솔루션은 SPDX나 CycloneDX 등의 다양한 형태의 SBOM 생성을 지원함으로써 소프트웨어의 투명성을 확보하는 데에 기여한다.
또한 생성된 SBOM을 활용해 새로운 취약점이 발견됐을 때 신속하게 대응할 수 있으며 소프트웨어의 전체 구성을 명확히 파악함으로써 잠재적인 보안 위험을 더 쉽게 식별하고 관리할 수 있다. 특히 최근 미국을 비롯한 여러 국가에서 소프트웨어를 공급할 때 SBOM 제출을 의무화하는 추세를 고려하면 스패로우 솔루션은 글로벌 시장에서의 경쟁력 확보에도 큰 도움이 될 것으로 보인다.
< 스패로우의 소프트웨어 전 생명주기 통합 보안 프로세스 / 스패로우 >
그러나 많은 국내 정부·공공기관 및 기업들은 SBOM 기반의 공급망 보안 관리체계를 도입하는 과정에서 여러 시행착오를 겪고 있다. 이에 스패로우는 단순히 오픈소스 분석·관리 도구를 제공하는 것에 그치지 않고, 실제로 SBOM을 도입하고 활용하는 과정에서 발생하는 시행착오를 줄이기 위한 활동도 함께 수행하고 있다. 그 일환으로 스패로우는 지난해부터 과학기술정통부, 한국인터넷진흥원(KISA)과 함께 소프트웨어 공급망 보안 실증 사업을 진행하고 있다. 이 사업을 통해 소프트웨어 공급망 보안 가이드라인을 포함해 대한민국의 소프트웨어 공급망 보안 관리 체계 구축에 적극적으로 기여하고 있다....[더 보기]
출처 : IT조선(https://it.chosun.com)
