소프트웨어 공급망 보안 강화에 도움이 되는 5단계
Jacob Crisp
Global Head of Strategic Response, Google Cloud
Phil Venables
VP/CISO, Google Cloud
* 본 아티클의 원문은 2022년 12월 9일 Google Cloud 블로그(영문)에 게재되었습니다.
거의 모든 부문에서 소프트웨어 공급망 공격이 급격히 증가하고 있으며 이러한 추세가 가까운 미래에도 계속될 것으로 예상되는 가운데, 소프트웨어 공급망 보안에 대한 새로운 Google 연구 보고서가 오늘 발표되었습니다. 지금은 모든 조직이 소프트웨어 공급망 보안을 개선하기 위해 행동할 때입니다.
보고서의 결론 중 2가지의 핵심 사항을 강조하고자 합니다. 첫째, 소프트웨어 공급망 공격에 대한 방어를 강화하려면 보다 전체적인 접근방식이 필요하다는 점이 다양한 보안 관련 활동을 통해 드러났습니다. 둘째, Google은 보안 커뮤니티와의 협력을 통해 전체 소프트웨어 공급망 생태계에서 위협을 완화할 수 있는 공통 SLSA(Supply-chain Levels for Software Artifacts) 프레임워크를 개발하고 배포했습니다. 이러한 프레임워크는 조직에서 소프트웨어의 무결성을 안전하게 구축하고 확인하는 데 유용하게 활용될 수 있습니다. 보고서 결론에 대한 자세한 내용은 여기에서 확인할 수 있습니다.
Google은 현대 소프트웨어 공급망이 깊이, 범위, 복잡성 측면에서 계속 심화되고 있음을 인지하고 있습니다. 이러한 복잡성으로 인해 고객은 보안 문제와 관련한 공급망 분석을 어디서 시작해야 하는지조차 파악하기 어려울 수 있습니다. 연구에 따르면 조직은 운영 환경에 관계없이 이와 같은 복잡한 문제를 처리해야 합니다.
매월 받은 편지함에서 Cloud CISO로부터 소식을 듣기
매월 Google Cloud CISO Phil Venables에서 받은 편지함으로 직접 보안 업데이트 등을 받아 보세요.
Google Cloud는 고객이 보안 상태, 복원력, 사이버 위생을 평가하는 데 필요한 지원을 받을 수 있도록 최선을 다해 협력하고 있습니다. 여러 프로세스와 시스템에서 소프트웨어를 보호하고 관련 Google Cloud 제품 및 서비스를 활용할 수 있는 5가지 단계를 아래에서 확인해 보세요. 이러한 추천 사항을 수행하여 고객은 Google의 광범위한 보안 환경을 활용하고, 오픈소스 종속 항목을 보호하는 복잡한 프로세스의 개발, 유지 관리, 운영에 대한 필요성을 줄일 수 있습니다.
Google Cloud로 권장사항 구현하기
소프트웨어 공급망 보안을 개선하는 데 관심이 있는 고객은 즉각적인 조치를 통해 권장사항을 구현할 수 있습니다.
1. Google Cloud Security Foundation 가이드로 기존 Google Cloud 보안 기능을 강화하세요. 이 가이드는 조직 구조, 인증 및 승인, 리소스 계층 구조, 네트워킹, 로깅 및 감지 제어를 포함하여 중요한 고려사항을 평가하는 데 도움이 될 수 있습니다. Mandiant 전문가와 추가로 소통하여 준비 상태를 평가할 수도 있습니다.
또한 Security Command Center와 같은 Google Cloud 서비스를 사용하여 취약점 및 잠재적 위험에 대한 정보를 한곳에서 확인하고, 추천자로부터 위험 경감을 위한 추천을 비롯해 서비스 사용 관련 정보를 구할 수 있습니다. 예를 들면 권한이 과도한 IAM 주 구성원이나 방치된 Google Cloud 프로젝트를 파악할 수 있습니다. 최고의 보안 자문팀인 Google 사이버 보안 작업팀(GCAT)의 추가 리소스를 여기에서 찾을 수도 있습니다.
2. Google Cloud의 DevOps 기능이 제공하는 빠른 소프트웨어 배포와 안정적이고 안전한 소프트웨어를 살펴보세요. 또한 대부분의 프로그래밍 언어에 적용되는 코드 설계, 개발, 테스트를 위한 기본 권장사항도 검토해야 합니다.
소프트웨어 배포 방법과 모든 종속 항목의 소프트웨어 라이선스 약관을 평가하는 것이 좋습니다. 조직에서 오픈소스 소프트웨어의 취약점을 해결하도록 지원하는 Google의 접근 방식에 대한 자세한 내용은 연구 보고서의 부록 B를 참조하세요.
3. 권장사항을 구현할 때는 조직의 정책을 문서화하고 정책 검증을 개발, 빌드, 배포 프로세스에 통합하세요. 예를 들어 조직의 정책에 Binary Authorization으로 구현하는 배포 기준을 포함할 수 있습니다. CISO를 위해 GCAT가 제공하는 보안 정책 및 기타 클라우드 보안 혁신 관련 추가 정보는 여기를 확인하세요.
제품에 대한 기본 보안 상태를 설정하기 위한 보안 제어 체크리스트인 최소 기능 보안 제품을 살펴볼 수도 있습니다. 이 체크리스트는 최소 보안 제어 요구사항을 설정하고 서드 파티 공급업체의 소프트웨어를 평가하는 데 사용할 수 있습니다.
새로운 Google 제품 및 서비스 솔루션 활용하기
Google Cloud는 최신 보안 위협을 해결할 수 있도록 고객에게 새롭고 혁신적인 보안 기능을 제공하는 데 지속적으로 집중하고 있습니다. SolarWinds에 대한 공격에서 Log4j와 같은 오픈소스 취약점에 대한 커뮤니티 대응에 이르기까지 소프트웨어 공급망 위험 관리 솔루션에 대한 고객의 수요가 급증하고 있습니다. Google은 몇 가지 최근 발표를 통해 오늘날 고객이 Google Cloud를 시작하는 데 도움이 될 수 있는 정보를 공유했습니다.
4. Google Cloud의 Software Delivery Shield를 사용하세요. 모듈식 기능 세트를 지원하는 완전 관리형 소프트웨어 공급망 보안 솔루션을 제공하여 개발자, DevOps, 보안팀에서 안전한 클라우드 애플리케이션을 빌드하는 데 도움이 됩니다. Software Delivery Shield는 GKE, Cloud Code, Cloud Build, Cloud Deploy, Artifact Registry, Binary Authorization 등 개발자 도구에서 런타임에 이르는 Google Cloud 서비스 제품군을 포괄합니다. Software Delivery Shield에 대해 자세히 알아보려면 솔루션 페이지를 확인하거나 이 Google Cloud Next 세션을 시청하여 Software Delivery Shield에 대한 간략한 개요를 확인하세요.
5. Assured 오픈소스 소프트웨어(OSS) 서비스를 활성화하세요. 기업 및 공공 부문 오픈소스 소프트웨어 사용자가 Google에서 사용하는 것과 동일한 OSS 패키지를 자체 개발자 워크플로에 쉽게 통합할 수 있도록 지원합니다. Assured OSS 서비스에서 선별한 패키지는 다음과 같은 특징을 가집니다.
- 취약점을 파악하기 위한 스캔, 분석, 퍼즈 테스트가 정기적으로 수행됩니다.
- Container/Artifact Analysis 데이터를 포함하는 보강된 메타데이터를 가집니다.
- SLSA 규정 준수에 대한 검증 가능한 증거를 포함하여 Cloud Build에서 빌드됩니다.
- 검증할 수 있도록 Google에서 서명하였습니다.
- Google에서 안전하게 보호하는 Artifact Registry에서 배포됩니다.
일반적인 소프트웨어 공급망 보안에 대해 자세히 알아보려면 Google Cloud에 문의하거나 영업 담당자에게 연락하여 소프트웨어 공급망 보안 워크샵 일정을 잡으세요.
