Industry Issue

소프트웨어 공급망 보안 위협 사례의 변화된 양상

Software Risk Analysis
작성자
관리자
작성일
2024-07-04 14:50
조회
46

소프트웨어 공급망 보안 위협 사례의 변화된 양상

 

Ponemon Institute가 발표하고 Synopsys가 후원하는 2024년 "소프트웨어 공급망 보안 위험 현황" 보고서는 1,200명 이상의 글로벌 IT보안 실무자를 대상으로 조직이 소프트웨어 공급망 보안과 관련하여 직면한 어려움에 대해 설문조사를 실시했습니다. 모든 사이버 보안 전문가가 알아야 할 보고서의 6가지 주요 결과는 다음과 같습니다.

 

[2024년 소프트웨어 공급망 보안 위험 현황의 6가지 주요 조사 결과]

 
  • 악성코드 및 멀웨어를 통한 공격이 증가하고 있습니다. 
취약점 공격은 공급망 공격의 가장 큰 원인으로 남아 있지만, 멀웨어와 악성 패키지를 벡터로 사용하는 고의적인 공격이 급속도로 증가하고 있습니다. Ponemon 연구 응답자의 59%는 소프트웨어 공급망 공격이나 악용으로 인해 영향을 받았으며, 대다수는 해당 공격이 작년에 발생했다고 밝혔습니다.

 
  • 대부분의 조직은 멀웨어 및 악성 패키지의 새로운 위협에 대처할 준비가 되어 있지 않습니다. 
응답자의 39%만 고위 경영진이 소프트웨어 공급망에서 악성 코드 및 멀웨어의 위험을 줄이는 데 매우 전념하고 있다고 답했습니다. 응답자의 63%는 자신의 조직이 서드파티 소프트웨어의 멀웨어를 평가한다고 답했지만, 대부분은 제공된 소프트웨어 자재 명세서(Software Bills of Materials)를 알려진 악성 패키지와 비교하는 데 의존합니다. 오직 45%만이 애플리케이션 종속성에 대한 바이너리 분석을 수행하고 37%만이 지속적인 위협 모니터링을 수행합니다.

 
  • 많은 조직은 새로운 소프트웨어 취약점에 대한 최신 정보를 얻기 위해 애플리케이션 보안 공급업체에 의존하고 있습니다.
역사적으로 조직은 NVD(National Vulnerability Database) 와 같은 공개 데이터베이스의 취약점 데이터에 의존해 왔습니다. 그러나 보고된 취약점의 양이 증가함에 따라 NVD와 같이 공개적으로 유지 관리되는 리소스는 새로운 취약점 공개를 따라잡는 데 어려움을 겪었습니다. 이제 많은 소프트웨어 구성 분석 도구가 Black Duck® KnowledgeBase ™ 와 같은 독점 데이터베이스의 상세하고 시의적절한 정보로 공개 데이터를 보완하여 조직이 보안 취약점을 보다 신속하게 식별하고 실행 가능한 권장 사항을 얻을 수 있도록 돕습니다.

 
  • 취약점 해결이 지연되면 소프트웨어 공급망이 위험에 빠지게 됩니다. 
응답자의 38%만이 자신의 조직이 알려진 취약점의 악용을 탐지하고 대응하는 데 매우 또는 아주 매우 능숙하다고 답했습니다. 응답자의 거의 절반(47%)은 조직이 심각한 소프트웨어 취약점에 대응하는 데 최소 한 달에서 6개월 이상이 걸린다고 답했습니다.

 
  • 다음 지연의 원인은 오픈 소스 의존성을 추적하고 관리하는 데 자동화를 사용하지 않기 때문일 가능성이 높습니다. 
오픈 소스 및 기타 서드파티 코드는 종종 패키지 관리자를 통해 다른 소프트웨어에서 사용될 수 있도록 배포되는 코드 라이브러리인 "의존성"을 통해 애플리케이션에 도입됩니다. 이러한 오픈 소스 의존성은 거의 모든 산업의 거의 모든 애플리케이션을 지원합니다. 실제로 " 오픈 소스 보안 및 위험 분석"(OSSRA) 보고서에 따르면 특정 애플리케이션에는 평균 526개의 오픈 소스 의존성이 있는 것으로 나타났습니다.

Ponemon 연구에 따르면 대부분의 조직은 소프트웨어에 포함된 오픈소스 의존성의 범위를 모르고 있습니다. 응답자의 39%만이 조직에서 오픈 소스 의존성에 대한 목록을 보유하고 있다고 답했습니다. 37%는 여전히 오픈 소스 구성 요소의 수동 검토 및 관리만을 사용하고 있으며, 41%는 수동 검토와 자동 관리를 혼합하여 사용하고 있습니다. 오직 22%만이 자동화된 또는 정책 기반 검토 및 관리를 사용하고 있습니다.

 
  • 소프트웨어 개발 생명 주기에서 AI를 사용하는 것이 주목을 받고 있지만 IP 및 라이선스 위험에 대한 AI 생성 코드를 모니터링하는 것은 보조를 맞추지 못하고 있습니다. 
응답자의 52%는 개발팀이 AI 도구를 활용하여 코드를 생성한다고 답했지만, AI가 생성한 코드를 평가하기 위한 프로세스를 갖춘 기업은 32%에 불과합니다.

널리 알려진 오픈소스 보안 침해 사고들로 인해 상대적으로 덜 중요하게 생각될 수 있지만, 소프트웨어 공급망을 보호하려는 조직은 IP 및 라이선스 준수 위험에도 주의를 기울여야 합니다. 예를 들어, 개발자가 소프트웨어 개발에 "스니펫"(snippet-더 큰 코드 조각에서 추출한 코드 조각)을 사용하는 것은 일반적인 관행입니다. 그러나 소프트웨어에 오픈 소스 스니펫이 포함되어 있는 경우, 소프트웨어 사용자는 스니펫과 관련된 라이선스를 준수해야 합니다.

코드 생성을 위한 AI 보조 도구의 사용이 증가하면서 문제가 증폭되고 있습니다. AI 코드 작성 도우미는 해당 코드의 라이선스 의무에 대한 통지 없이 코드 조각을 제안할 수 있으며, 이로 인해 해당 코드를 사용하는 조직이 잠재적인 라이선스 컴플라이언스 미준수 문제에 노출될 수 있습니다. 소프트웨어에 규정(컴플라이언스)을 준수하지 않는 라이선스가 하나만 있어도 법적 검토, 인수 합병 거래 중단, 지적 재산권 손실, 시간 소모적인 수정 노력, 제품 출시 지연 등의 결과를 초래할 수 있습니다.

 

Black Duck 더 알아보기 CLICK!!!

 

원문 게시일: 2024.05.16

원문 기고자: Fred Bals

출처: https://www.synopsys.com/blogs/software-security/software-supply-chain-security-report.html

/about-us/inquiry/
https://www.youtube.com/@softflow2018
https://blog.naver.com/softflow_group
#