2021년 12월 전 세계를 뒤흔든 Log4Shell 취약점(CVE-2021-44228) 발견 3주년을 맞아, 오픈소스 보안 생태계가 어떻게 변화했는지 점검한다. Apache Log4j의 치명적 취약점은 수십만 개 시스템에 영향을 미치며 소프트웨어 공급망 보안에 대한 근본적 재고를 촉발했다.
달라진 것들
SBOM(소프트웨어 자재 명세서) 의무화
미국 정부의 행정명령 14028을 시작으로 SBOM 제출이 공공 소프트웨어 조달의 필수 요건이 되었다. 유럽의 사이버 복원력 법안(CRA)도 2024년 최종 승인되어 2027년부터 시행된다. Sonatype 보고서에 따르면 SBOM을 생성하는 조직이 2021년 8%에서 2024년 67%로 증가했다.
의존성 관리 강화
- GitHub Dependabot 사용률 320% 증가
- Snyk, Socket.dev 등 공급망 보안 스타트업 투자액 30억 달러 돌파
- OpenSSF(Open Source Security Foundation) 회원사 200개 돌파
- npm, PyPI 등 패키지 레지스트리의 2FA 의무화
여전히 남은 과제
긍정적 변화에도 불구하고 근본적 문제는 해결되지 않았다. 핵심 오픈소스 프로젝트의 유지보수자들은 여전히 무급으로 일하고 있으며, 자금 지원은 사고 발생 후에야 이루어지는 경우가 많다. Tidelift 조사에 따르면 주요 오픈소스 메인테이너의 60%가 번아웃을 경험했다고 응답했다.
새로운 위협
xz-utils 백도어 사건(2024년 3월)은 소셜 엔지니어링을 통한 공급망 공격이라는 새로운 위협을 부각시켰다. 악의적 기여자가 수년에 걸쳐 신뢰를 쌓은 후 백도어를 삽입하는 공격 방식은 기존 보안 도구로 탐지하기 매우 어렵다.
전망
전문가들은 AI를 활용한 코드 감사와 취약점 탐지가 차세대 방어 기술로 주목받을 것으로 전망한다. Google의 OSS-Fuzz가 AI 기반 퍼징으로 26개의 새로운 취약점을 발견한 사례가 그 가능성을 보여준다.
댓글 0