😊All Things IT @AI
최신 뉴스 주제별 보기 AI? AI 서비스 OpenAI 마이크로소프트 구글 엔비디아
😊All Things IT @AI

Contents

거대 기술 기업들이 급증하는 소프트웨어 공급망 위험과 씨름하고 있다고 JFrog 보고서가 밝혔습니다.

 included in Ai, Ml And Deep Learning Business Business Intelligence Cloud And Data Storage Security Data Infrastructure Data Management Data Security And Privacy Data Storage And Cloud Enterprise Analytics Nlp Network Security And Privacy Programming & Development Security Ai Automation Data-Science
   950 words   5 minutes 

소프트웨어 공급망은 점점 더 복잡하고 상호 연결된 디지털 환경을 탐색하는 기업에게 중요한 관심사가 되었습니다. 소프트웨어 공급망 관리 솔루션의 선도적 제공업체인 JFrog 의 최근 보고서에서는 소프트웨어 생태계를 보호하는 데 있어 조직이 직면하는 증가하는 과제와 위험에 대해 조명합니다.

지난주 발표된 " 소프트웨어 공급망 현황 2024 " 보고서에 따르면 현대 소프트웨어 공급망은 멀티테크, 멀티소스, 다국적 조직으로 구성되어 있으며 상당수의 조직이 10개 이상의 프로그래밍 언어를 사용하고 있는 것으로 나타났습니다. “조직의 약 절반(53%)이 4~9개의 프로그래밍 언어를 사용하고 있으며, 상당수인 31%는 10개 이상의 언어를 사용하고 있습니다.“라고 보고서는 말합니다.

/images/tech-giants-grapple-with-ballooning-software-supply-chain-risk-jfrog-report-reveals.png

이미지 출처: JFrog

오픈 소스 소프트웨어 패키지와 라이브러리의 확산으로 애플리케이션 개발 목적에 대한 가용성이 크게 증가했습니다. 이 보고서에 따르면, 가장 많이 기여한 패키지 유형으로 Docker와 npm이 꼽혔으며, 인공 지능과 머신 러닝 애플리케이션의 채택이 증가함에 따라 PyPI의 기여가 눈에 띄게 증가했습니다. 하지만 이러한 방대한 옵션은 기업에게 수많은 보안 위험을 초래합니다.

2023년에 전 세계 보안 전문가들은 총 26,000개 이상의 공통 취약점 및 노출(CVE)을 새로 발견했으며, 이는 확인된 취약점의 연간 증가율 측면에서 상승 추세를 반영합니다. 이 보고서에 따르면 이 기간 동안 가장 많이 발견된 취약점 유형으로는 크로스 사이트 스크립팅, SQL 인젝션, 아웃오브바운드 쓰기가 있으며, 크로스 사이트 요청 위조가 이 범주에 새롭게 추가된 것으로 나타났습니다.

오해의 소지가 있는 취약점 점수가 실제 위험을 가린다

JFrog 보안 연구의 수석 디렉터인 샤차 메나쉬는 실제 익스플로잇 시나리오에서의 적용 가능성과 관련하여 CVSS(공통 취약점 점수 시스템) 점수의 기만적인 특성을 강조했습니다. “모든 라이브러리 취약점은 본질적으로 특정 상황에 따라 달라질 수 있음에도 불구하고 CVSS 점수 체계의 기본은 ‘상황에 따라 달라지는’ 공격 벡터를 배제합니다.“라고 메나쉬는 플랫폼과의 대화에서 설명했습니다. 즉, 쉽게 뚫릴 수 있는 취약점도 매우 예외적이고 드문 조건에서만 침해될 수 있는 취약점과 동일한 평가 점수를 받는다는 뜻입니다.

이 연구에 따르면 상위 100개 Docker Hub 커뮤니티 이미지 중 심각도가 높고 심각한 수준의 공통 취약점 및 노출(CVE)의 상당 부분, 즉 74%는 실제로는 악용할 수 없는 것으로 나타났습니다. 이는 피상적인 취약성 평가에서 벗어나 조직 소프트웨어의 고유한 상황과 시스템 구성을 고려한 종합적인 위험 평가를 수행해야 할 필요성을 강조합니다.

/images/tech-giants-grapple-with-ballooning-software-supply-chain-risk-jfrog-report-reveals-1.png

JFrog 보안 연구팀은 상위 100개 도커허브 커뮤니티 이미지에서 CVSS 점수
로 보고된 85만6356개의 일반 CVE 중 74%가 실제로
개가 악용 가능한 것이 아니라는 것을 발견했습니다. (이미지 출처: JFrog)

소프트웨어 공급망에 숨겨진 위험

이 연구는 소프트웨어 조달 네트워크 내에 존재하는 숨겨진 위험에 주목하며, 사람의 실수와 기밀 정보 유출이 취약성에 크게 기여한다는 점을 지적합니다. 조사 결과에 따르면 “소프트웨어 공급망의 취약성 중 상당 부분은 인적 오류와 공개된 민감한 데이터에서 비롯됩니다.

메나쉬는 특히 빌드와 소스 코드에 초점을 맞춰 바이너리 수준에서 보안 평가를 수행할 때의 뚜렷한 이점을 강조하며 이전 발표를 확장했습니다. 이러한 접근 방식을 사용하면 프로덕션 환경에서 실행될 실제 코드의 유효성을 검사하고 검증할 수 있기 때문입니다. 또한 그는 특정 취약점은 소스 코드 자체에서는 드러나지 않을 수 있지만 컴파일 과정에서 CI/CD(지속적 통합/지속 배포) 파이프라인에 의해 생성된 최종 소프트웨어 이미지에 첨부되는 민감한 정보 또는 ‘비밀’의 유출을 통해 나타날 수 있다고 언급했습니다.

단절된 보안 접근 방식으로 귀중한 시간과 리소스 낭비

소프트웨어 공급망의 잠재적 위험에 대한 인식이 높아지고 있지만, 많은 조직은 개발팀의 상당한 시간과 리소스를 소모하는 단편적인 보안 전략으로 계속해서 어려움을 겪고 있습니다. 이 연구에 따르면 응답자의 60%가 애플리케이션 내 취약점을 해결하는 데 한 달에 평균 4일 이상 소요된다고 답했습니다.

메나쉬는 단순히 CVE의 존재를 파악하는 것이 아니라 스캔 결과에 대한 컨텍스트를 제공하는 보안 솔루션을 사용하여 취약점의 우선순위를 정하는 것이 중요하다고 강조합니다. 작년과 올해 보고서의 조사 결과에 따르면 이러한 접근 방식은 약 75%를 차지하는 오탐의 수를 줄일 수 있습니다.정적이든 동적이든, 컨텍스트 스캔은 잠재적 위협을 보다 명확하게 파악하는 데 매우 중요합니다.

이 보고서는 애플리케이션 보안 도구의 보급이 증가하고 있음을 인정하면서도 이러한 추세를 기업이 직면할 수 있는 과제로 파악하고 있습니다. 메나쉬에 따르면 “시장에서 보안 제품이 확산되면서 수많은 포인트 솔루션이 제공되어 불완전한 보호, 상충되는 결과, 소프트웨어 개발 프로세스를 방해하는 과도한 경고로 인해 조직에 어려움이 발생하고 있습니다.“라고 말합니다.

인공지능과 머신러닝, 새로운 과제를 가져옴

소프트웨어 개발에 인공지능(AI)과 머신러닝(ML)의 통합은 여러 가지 새로운 딜레마를 제시합니다. 이 연구에 따르면 “응답자의 압도적인 다수가 소속 조직에서 오픈 소스 ML 모델의 안전성과 규정 준수 여부를 평가하는 절차를 구현했다고 답했지만, 약 1/5은 보안 및 규정 준수에 대한 우려로 인해 프로그래밍 작업에 AI/ML 도구의 사용을 금지하고 있다고 답했습니다.“라고 합니다.

향후 전망을 고려할 때, 메나쉬는 소프트웨어 개발에 인공지능 활용이 급증할 것으로 예상하면서 이러한 추세와 관련된 잠재적 위험성을 강조합니다. GenAI가 생성한 코드의 구현을 통해 효율성이 향상된다는 증거가 있지만, 개인 프로그래머와 조직 모두 사이버 보안과 규정 준수에 상당한 영향을 미친다는 사실을 인식하는 것이 중요합니다. 메나쉬는 GenAI에 의한 보안 코드 생성에 관한 주장이 완전히 정확하지 않을 수 있으므로 주의를 기울일 것을 촉구합니다.

메나쉬는 2024년의 잠재적 위험을 강조하면서 사이버 보안 책임자들은 공격자들이 프로그래밍 작업을 위해 설계된 AI 시스템을 대상으로 한 쿼리를 통해 존재하지 않는 라이브러리를 생성하여 인공지능을 활용할 가능성을 인지해야 한다고 지적했습니다. 이러한 악의적인 공격자들은 이 수법을 사용하여 겉보기에 진짜처럼 보이는 패키지를 생성할 수 있으며, 개발자가 무의식적으로 이를 통합할 경우 시스템에 유해한 소프트웨어가 유입될 수 있습니다.

소프트웨어 공급망 보안을 위한 주요 권장 사항

소프트웨어 공급망의 현재 상태를 보여주는 지표로서 JFrog 보고서는 조직이 사이버 보안 조치를 강화하고 소프트웨어 취약성 관리를 위한 전체적인 전략을 실행하는 데 집중할 것을 촉구하는 역할을 합니다.

메나쉬는 소프트웨어 공급망의 보안을 강화하고자 하는 IT 경영진을 위해 다음과 같은 주목할 만한 일련의 제안을 제공합니다:

보안 위협으로부터 보호하기 위해 기업은 인터넷에서 오픈 소스 소프트웨어(OSS) 패키지를 직접 다운로드하는 것을 제한하여 외부 리소스에 대한 액세스를 제어하는 조치를 구현해야 합니다. 대신 공용 리포지토리에 액세스하는 중개자 역할을 하는 아티팩트 관리 솔루션(AMS)을 활용해야 합니다. 이를 통해 조직은 들어오는 아티팩트를 평가하고 필터링하는 동시에 유해하거나 원치 않는 콘텐츠가 개발 환경에 유입되기 전에 차단할 수 있습니다. 또한 전체 소프트웨어 릴리스 프로세스 전반에 걸쳐 써드파티 및 OSS 패키지를 모두 관리하는 포괄적인 시스템을 구현하는 것이 필수적입니다. 이러한 솔루션은 팀과 워크플로 전반에 걸쳐 보안 조치를 균일하게 통합하여 IT 및 보안 담당자에게 운영을 모니터링하고 관리할 수 있는 통합 인터페이스를 제공합니다. 마지막으로, 기업은 릴리스 프로세스 중 무단 변경으로부터 보호하기 위해

문맥 검색 기술 활용, 포괄적인 보안 조치 통합, 인공지능으로 생성된 코드에서 발생하는 잠재적 위협을 완화하는 사전 예방적 접근 방식을 통해 소프트웨어 공급망 인프라를 강화하는 동시에 소프트웨어 환경 내에 존재하는 잠재적 위험으로부터 자신을 보호할 수 있습니다.

최근 JFrog 보고서는 잠재적 취약성의 범위가 지속적으로 확대되고 있는 상황에서 소프트웨어 공급망의 보안을 보장하기 위한 경계 강화와 종합적인 전략의 중요성을 강조하고 있습니다.

Updated on 2024-03-26
Back | Home