[인터뷰] 소나타입 “EU CRA, SW 공급망 보안 새 기준...한국기업도 대비해야”

실시간
뉴스

인터뷰

[인터뷰] 소나타입 “EU CRA, SW 공급망 보안 새 기준...한국기업도 대비해야”

디지털데일리 발행일 2024-11-28 14:13:39

이안나 기자

URL복사

이카 투루넨 소나타입 필드 CTO “SW 공급망 보안, 이제 선택 아닌 필수”

[디지털데일리 이안나기자] “이제 소프트웨어(SW) 공급망 보안은 선택이 아닌 필수입니다. EU 사이버복원력법(CRA)이 가져올 변화는 일반데이터보호법(GDPR)에 버금갈 것입니다.”

포레스터 ‘2024 소프트웨어 구성 분석(SCA) 웨이브’ 평가에서 최고점을 받은 소나타입의 이카 투루넨(Ilkka Turunen) 필드 CTO는 최근 <디지털데일리>와 서면 인터뷰에서 이같이 밝혔다. 소프트웨어 및 시스템 엔지니어링 분야 전문가인 투루넨 CTO는 다수 상업용 프로젝트에서 아키텍트로 활동하며, 전 세계 기업 소프트웨어 공급망 개선을 지원해왔다.

최근 SW 공급망 보안이 국가 안보 핵심 이슈로 떠오르고 있다. 오픈소스 활용이 일반화되면서 취약점 사고가 잇따르자 각국이 규제를 도입하기 시작한 것. 유럽연합(EU)은 사이버복원력법(CRA)을 통해 모든 소프트웨어에 CE 인증을 의무화할 예정이고, 미국은 행정명령을 통해 연방정부 조달 소프트웨어 보안 요건을 대폭 강화하려는 움직임이다.

한국도 발 빠르게 움직이고 있다. 국가정보원과 과학기술정보통신부는 최근 'SW 공급망보안 태스크포스(TF)'를 발족하고 단계별 로드맵 추진에 나섰다. 내년 1월까지 구체적인 보안 정책과 산업 지원 방안을 마련한다는 계획이다. 특히 글로벌 수준 소프트웨어 공급망 보안 가이드라인 수립이 과제로 떠올랐다.

◆ 글로벌 SCA 시장 선도 소나타입...포레스터 평가서 최고점=이러한 가운데 글로벌 소프트웨어 공급망 보안 기업 소나타입이 주목받고 있다. 소나타입은 시장조사기관 포레스터가 발표한 '2024 소프트웨어 구성 분석 웨이브' 보고서에서 최고 평가를 받았다. 소나타입은 기술력과 미래 비전 모두에서 최고점을 기록, 리더 그룹에서 가장 상단 위치를 차지했다.

포레스터는 75개 세부 항목에 걸친 평가와 실제 고객 피드백을 바탕으로 이번 평가를 진행했다. 평가 결과 소나타입은 ▲악성패키지 탐지 능력 ▲소프트웨어자재명세서(SBOM) 관리 기능 ▲정책관리 시스템 ▲AI 기반 컴포넌트 분석 기능 등 4개 핵심 영역에서 경쟁사들을 크게 앞섰다.

현재 기업의 코드베이스 77%가 오픈소스 소프트웨어로 구성될 만큼 오픈소스 의존도가 높아졌다. 기업들이 핵심 비즈니스 로직 개발에 집중하기 위해 기본 요소들을 오픈소스나 서드파티 소프트웨어로 대체하고 있기 때문이다. 이에 따라 소프트웨어 구성분석(SCA) 중요성도 커지고 있다.

SCA는 소프트웨어 공급망 보안 핵심 요소다. SCA는 데브섹옵스(DevSecOps) 환경에서 취약점 방어를 위한 기본적인 보안 검사 도구로 자리잡았지만, 그 역할은 더욱 확대되고 있다. 가령 최근 개발자를 대상으로 악성코드가 오픈소스로 위장해 유포되는 사례가 증가하면서 소프트웨어 개발 수명주기(SDLC) 전반에 걸친 보안 체계 구축이 중요해졌다.

또한 모든 구성 요소를 버전별 관리하는 것뿐만 아니라 자동화된 방식으로 SBOM을 생성할 수 있는 능력도 효과적인 소프트웨어 공급망 보안의 핵심 원칙으로 자리잡았다.

◆ “한국, SW 공급망 보안 표준에서도 자동화·복원력이 핵심”=EU가 2027년부터 시행할 CRA는 소프트웨어 보안의 새로운 전환점이 될 전망이다. 이 법안은 EU에서 판매되거나 제공되는 모든 소프트웨어에 대해 최소한의 법적 강제 사이버 보안 표준 준수를 요구한다. 모든 제품은 CE 마크를 획득해야 하며, 이는 지리적 위치와 관계없이 소프트웨어를 개발하는 모든 기업에 적용된다.

현재 소프트웨어 개발 환경 복잡성도 주목할 만한 과제다. 하나의 소프트웨어에 평균 180개 오픈소스 구성요소가 포함돼있고, 각 기업은 애플리케이션당 매년 최소 10개 중요 취약점을 처리해야 한다. 대표적인 사례가 역사상 최악의 취약점으로 평가받는 Log4j다. 모든 경고에도 불구하고 사건 발생 후 2년간 40% 이상 다운로드가 여전히 취약한 버전에서 이루어졌다.

이러한 문제를 해결하기 위해 투루넨 CTO는 ‘시프트 레프트’ 접근법이 필수라고 강조했다. 그는 “버그를 일찍 발견할수록 수정이 더 빠르고 쉽다”며 “개발 초기 단계부터 보안을 고려하고, 자동화된 도구를 활용하면 많은 수동 작업을 제거할 수 있다”고 설명했다.

포레스터는 SCA 솔루션 평가에서 개발자 지원 기능을 중요하게 봤다. 취약점의 심각도, 수정 용이성, 실제 공격 가능성 등을 기준으로 우선순위를 정하고, 개발자들에게 최적의 해결책을 제시하는 능력이 핵심이다. 또한 자동화된 방식으로 라이브러리를 최신 상태로 유지하고 SBOM을 생성하는 기능도 중요한 평가 요소였다.

이에 투루넨 필드 CTO는 “최근 규제 환경에선 자동화 방식으로 SBOM을 생성하고 관리하는 능력이 필수가 됐다”며 “수동으로 이루어지던 규제 준수 과정이 자동화를 통해 몇 분으로 단축될 수 있다”고 덧붙였다. 이는 개발팀 부담을 줄이면서도 보안 수준을 높일 수 있는 핵심 전략이 될 수 있다.

한국의 역할과 과제에 대해서도 의미 있는 제언을 했다. 투루넨 CTO는 “한국은 세계 경제, 특히 소프트웨어 분야에서 상당한 영향력을 미치고 있다”며 “한국 제조업체들은 각자의 제품 카테고리에서 선두를 달리고 있으며, 한국이 설정하는 보안 표준은 필연적으로 글로벌 제품 품질 향상으로 이어질 것”이라고 분석했다.

투루넨 필드 CTO는 한국 소프트웨어 공급망 보안 가이드라인 개발에 대해 “세계적 흐름에 맞추되, 한국 기업들의 특정 문제가 강조되는 것을 주저하지 않아야 한다”고 조언했다. 특히 그는 자동화와 복원력을 최우선 과제로 꼽았다. 이어 “자동화된 규제 준수 방식을 도입한 팀들이 더 높은 생산성과 보안성을 보여주고 있다”며 “현실적으로 규제 준수를 피할 수 없지만, 변화를 두려워하지 말고 이를 프로세스 개선 기회로 삼아야 할 때”라고 전했다.