Log4j 사태 후 1년, 오픈소스 보안 개선 실태는?

Log4j 사태 후 1년, 오픈소스 보안 개선 실태는?: 안하영 / 기사승인 : 2022-12-14 18:09:38

소프트웨어 공급망 보안 문제는 특히 오픈 소스와 관련이 있다. [사진출처=위키백과]

Log4j 보안 취약 사태가 발생한 지 1년이 지났다. Log4j 보안 취약 사태는 아파치 소프트웨어 재단의 자바 프로그래밍 언어로 제작된 Log4j 라이브러리를 사용하는 대부분의 인터넷 서비스에서 매우 중대한 보안 취약점이 발견된 사건이다.

Log4j는 자신의 환경에서 널리 사용되는 오픈소스 로깅 유틸리티를 실행하고 있는지 여부와 위치를 이해하기 위해 고군분투하는 많은 조직에게 치명적인 사건이었다. 그러나 Log4j는 또한 업계가 소프트웨어 공급망 악용의 전이적 특성과 악용이 소프트웨어 종속성을 뛰어넘는 것이 얼마나 쉬운지 파악하는 계기가 되었다.

당시 언론은 Log4j 사태를 컴퓨터 인터넷 역사상 최악의 보안 결함일 수 있다고 보도했다. 현재는 보안 결함들이 어떻게 개선되고 있을까?

소프트웨어 전문매체 인포월드가 Log4j 사태 이후 오픈소스 보안 개선 수준을 소개했다.

먼저, Log4j 보안 취약점 사태 발생 1년 후, 오픈소스 커뮤니티의 노력과 새로운 개발자 도구 체인이 소프트웨어 공급망 보안 문제를 해결하고 있다.

소프트웨어 공급망 보안 문제는 특히 오픈소스와 관련이 있다. 최신 애플리케이션이 대부분 보안 출처가 알려지지 않은 오픈소스 프레임워크로 구축되고 있다. 모든 오픈소스를 보호하는 엔터프라이즈 솔루션은 존재하지 않는다.

소프트웨어 공급망 보안과 관련해 많은 활동이 있었다. 그 예시로 소프트웨어 공급망을 확보하기 위한 백악관의 행정명령과 2022년 미 상원의 오픈소스 소프트웨어 보안법을 언급할 수 있다.

또, 리눅스 재단과 클라우드 내이티브 컴퓨팅 파운데이션은 주요 오픈소스 프로젝트 문제 해결에 나섰다. 예를 들어 SPDX SBOM 형식은 Kubernetes와 같은 주요 플랫폼에 적용됐다. 오픈소스 시큐리티 파운데이션은 100명 이상의 회원을 보유하고 있으며 더 많은 표준과 도구를 위해 수백만 달러의 자금을 지원하고 있다. 러스트와 같은 메모리 안전 언어는 전체 클래스의 소프트웨어 아티팩트 관련 취약성을 방지하기 위해 리눅스 커널에서 지원된다.

가장 눈에 띄는 기술은 시그스토어다. 시그스토어는 구글과 레드햇에서 만든 코드 서명 도구로 현재 오픈소스 소프트웨어 레지스트리, 툴체인. Kubernetes, npm 및 PyPi는 서명 표준으로 시그스토어를 채택한 플랫폼 및 레지스트리 중 하나다. 중요한 것은 이러한 모든 시그스토어 서명이 공개 투명성 로그에 기록된다는 것이다. 보안 생태계가 소프트웨어 서명, 소프트웨어 명세서(SBOM) 및 전체 소프트웨어 공급망 보안 출처 도구 체인 사이의 점을 연결하기 시작하는 중요한 방식이다.

지난 20년 또는 심지어 지난 2년 동안 오픈소스에 관심을 기울인 사람이라면 누구나 이러한 인기 있는 오픈소스 기술에 대한 상업적 이익이 번성하기 시작하는 것을 보고 놀라지 않았을 것이다. 2022년 12월 8일, 설립자가 구글에 있는 동안 시그스토어를 공동으로 개발한 보안 기업 체인가드(Chaingaurd)는 고객이 Sigstore-as-a-service를 사용해 자체 소프트웨어 아티팩트에 대한 디지털 서명을 생성할 수 있는 Chainguard Enforce Signing을 출시했다.

Chainguard Enforce Signing은 조직이 아티팩트를 확인해야 하는 모든 시점에서 유효성을 검사할 수 있는 개인 서명을 사용해 컨테이너 이미지, 코드 커밋 및 기타 아티팩트의 무결성을 보장하는 데 도움이 된다. 또한 공개 투명성 로그에서 오픈소스 소프트웨어 아티팩트가 공개적으로 서명되는 구분선을 허용한다. 그러나 기업은 동일한 흐름으로 자체 소프트웨어에 서명할 수 있지만 공개 로그에 없는 비공개 버전을 사용한다. 체인가드의 경로는 깃허브와 유사하다. 개발자는 무제한 공용 저장소를 만들 수 있지만 개인 팀 저장소에 대해서는 비용을 지불해야 한다.

체인카드의 CEO이자 시그스토어의 공동 제작자인 댄 로렌스(Dan Lorenc)는 특히 개발자의 이론과 현실 사이에 많은 여백이 있는 SBOM는 개선해야 할 점이 많다고 말한다. 개발자가 소프트웨어 개발 수명 주기 초기에 소프트웨어 아티팩트에 보안을 구축할 수 있는 쉬운 방법이 없다면 그 결과는 추측 BOM이 될 것이라고 말한다. 로렌스는 시그스토어에 의해 가능해진 소프트웨어 서명과 오픈소스 기관(산업계와 정부 모두)이 주도하는 주요 프로젝트의 전반적인 버블링을 지적하고 있다. 그는 이를 소프트웨어 공급망 보안 문제를 해결할 수 있는 많은 권한이 올바른 도구를 가진 개발자의 손에 달려 있다는 증거로 보고 있다.