역사적으로 매우 심각한 피해를 일으킨 러시아발 멀웨어 공격인 낫페트야(NotPetya)와 비교적 최근 발생한 솔라윈즈(SolarWinds) 사이버 도청 행위는 러시아 정부의 지원을 받은 점 외에 소프트웨어 공급망 공격이 현실에서 발생한 사례라는 또 다른 공통점이 추가로 존재한다. 소프트웨어 공급망 공격이라는 표현은 해커가 악성 코드를 멀리, 그리고 대대적으로 퍼질 수 있는 합법적인 소프트웨어에 배포하는 행위를 뜻한다. 또, 더 많은 공급망 공격이 등장하자 새로운 오픈소스 프로젝트가 공급망 공격 견제 목적이라는 확실한 대응을 하고자 하며, 중대한 보호 프로그램을 무료로 누구나 쉽게 구축하도록 한다.
비영리 소프트웨어 개발 기관 시그스토어(Sigstore)의 공동 창립자 모두 코드 서명 채택을 촉진할 계획이다. 이는 소프트웨어 공급망을 보호할 중요한 수단이면서도 큰 인기를 누리고, 널리 사용되는 오픈소스 소프트웨어이지만 종종 많은 사람이 간과한다. 오픈소스 개발자 상당수가 항상 코드가 제 기능을 하도록 설치하기 위해 필요한 코드 서명을 양도 불가능한 구성요소를 최우선으로 완전히 구축할 충분한 자원이나 시간, 전문 지식 등을 충분히 지닌 것은 아니다.
구글의 오픈소스 소프트웨어 공급망 연구원 겸 엔지니어인 댄 로렌스(Dan Lorenc)는 “약 1년 반 전, ‘종말이 다가오고 있다’라는 표지판이 있는 한구석에 서 있는 미친 사람이 된 듯한 기분이었다. 아무도 소프트웨어 공급망 보호 문제를 이해하지 못했다. 그러나 2020년, 상황이 상당히 달라졌다. 이제는 모두가 공급망 보안을 이야기하며, 백악관은 공급망 보안 관련 행정 명령을 내렸다. 또, 모두가 오픈소스의 중요성과 모두를 위한 보안 수정을 위해 존재하는 일부 자원을 실제로 두는 것의 필요성을 이야기한다”라고 말했다.
오픈소스 프로젝트나 공급망 보안의 문제에 집중한 연구원은 로렌스뿐만이 아니다. 그러나 최근, 대중적인 주목을 받은 각종 해킹은 로렌스와 그의 동료가 이미 진행 중인 완전히 새로운 차원의 연구를 위한 열의를 모았다.
“오픈소스 코드를 이용한 공급망 보안은 특별한 노력 없이 손쉽게 코드를 얻을 수 있다는 사실을 확인하는 것과 관련이 있다.”
산티아고 토레스 아리아스, 퍼듀대학교
시그스토어의 중요성을 이해하려면, 코드 서명의 역할을 이해해야 한다. 옛날 전쟁터의 전략과 같은 존재를 생각해 보아라. 장군은 왕실 명령이 작성된 손글씨와 함께 최고 사령관의 서명, 편지 봉투의 세부 왁스 직인 등을 인식하는 동시에 통제된 관리 연속성을 지닌 메시지를 전달하는 모든 페이지의 중요한 네트워크를 신중하게 검토한다. 이러한 시스템이 효과가 있는 이유는 외부 기관의 침입과 중요한 요소 복제, 모든 무결성 확인 절차를 피하는 것이 극도로 어렵기 때문이다. (물론, 완전히 불가능한 것은 아니다.)
[사진=Sigstore 트위터]
암호화 코드 서명도 마찬가지이다. 단순히 윈도 업데이트를 한 뒤, 이를 가장 가까운 친구나 적에게 배포할 수 없다. 암호화 코드 서명은 무언가 심각한 문제가 발생한 것이 아닌 이상 윈도 개발사인 마이크로소프트만 배포할 수 있다. 마이크로소프트가 아닌 타기관이나 타인이 사용자의 윈도 노트북에 업데이트를 전송하는 것이 매우 어려운 이유는 윈도 소프트웨어에 정통한 제작자의 서명이 적절한 시점에 필요하기 때문이다. 암호화 코드 서명은 디지털 시대에 미국 유명 생명 보험 기업인 존 핸콕(John Hancock)과 옛날 전쟁터 편지의 왁스 직인과 같은 존재이다.
그러나 고대 전쟁터와 오늘날 소프트웨어의 보안 위험성이 매우 높은 이유도 함께 알 수 있다. 누군가가 악성 명령이나 업데이트를 보낸다면, 쿠데타를 일으키거나 수십억 대의 컴퓨터 보안을 해칠 수 있다. 코드 서명의 장점은 확실하지만, 취미로 소프트웨어 제작을 하는 개발자와 재능 기부자, 다른 오픈소스 개발자 등이 코드 서명을 활용하도록 하려면 낮은 진입 장벽이 필요하다.
오픈소스 소프트웨어 기업 레드햇(RedHat) 수석 설계자인 밥 칼라웨이(Bob Callaway)는 “코드 서명 진입 장벽이 낮아지면, 전 세계 기반 시설 전체에 심각한 문제를 일으킬 수 있다. 코드 서명이 모든 보안 문제를 해결할 만병통치약이 아닌 것은 확실하다. 다만, 많은 사람이 오랫동안 존재한 실제 최선의 관행과 암호화 기법을 채택하도록 제한을 크게 낮추면서 더 안전한 소프트웨어 배포가 이루어지도록 할 것이다”라고 설명했다.
시그스토어는 리눅스 재단 소속 기관이다. 리눅스 재단은 현재 구글이 이끌고 있으며, 레드햇과 퍼듀대학교 등이 함께 소속돼, 다음과 같이 두 가지 요소를 결합한다. 그 첫 번째는 리눅스 재단 소속 기관 모두 사용자에게 따르기 복잡한 암호화 기능 제공 협력을 한다. 그리고, 스스로 추가 작업을 할 수 없거나 추가 작업을 원하지 않는 개발자를 위해 말 그대로 모든 것을 다룰 수 있는 선택권을 제공한다. 이메일 주소나 ‘구글 계정으로 서명하기’, ‘페이스북 계정으로 서명하기’ 등과 같은 서드파티 기반 단일 서명 기능 등 이미 구축됐으며 오래전부터 존재한 식별 과정을 활용해, 재빨리 암호화 서명 코드 생성을 시작할 수 있다. 그리고, 특정 시점에 개발자가 직접 암호화 코드 서명을 제작할 수 있다. 두 번째 요소는 시그스토어가 자동 생성하는 모든 활동의 공개적이면서 변하지 않는 오픈소스 로그이다. 모든 제출 사항의 공개 책임을 제공하는 동시에 무언가 잘못된 상황이라면, 문제 조사를 시작할 지점으로 돌아가도록 한다.
퍼듀대학교 공급망 연구원인 산티아고 토레스 아리아스(Santiago Torres-Arias) 박사는 “2019년, 레드햇 연구원인 루크 힌즈(Luke Hinds)와 함께 오픈소스 보안 관련 내용을 논의했으며, 일종의 투명성 로그로 기본적으로 소프트웨어 공급망에서 발생하는 모든 것을 설명하는 증거 문서부터 시작하는 것이 좋지 않겠느냐는 제안을 했다. 이후, 힌즈 박사가 두 달간 연락되지 않았다. 그리고, 프로토타입을 제작하고, 다시 연락했다”라고 말했다.
6월 18일(현지 시각), 로렌스와 토레스 아리아스 박사, 칼라웨이, 힌즈 박사, 뉴욕대학교 보안 소프트웨어 배포 연구원인 마리나 무어(Marina Moore) 박사는 시그스토어의 암호화 키 소유자가 되는 것을 기념하는 공개 암호화 행사에 참석했다. 모두 4개월간 소유할 암호화 키, 그리고 기본적으로 패스워드를 보안 섬 드라이브에 생성하고 추가했다. 그리고, 시그스토어의 중립 커뮤니티 프로젝트라는 목표를 향한다는 의미로 다른 소유자에게 암호화 키를 건넬 것이다. 시스템의 모든 변경사항은 핵심 창시자 5명 중 3명 이상이 참여하는 가운데 이루어져야 한다.
무어 박사는 “매우 두려우면서도 흥미로운 일이다. 최근, 행사에서 제작한 암호화 키는 모든 시스템의 보안 기반이기 때문이다. 모든 것이 원활하게 이루어져 4개월간 암호화 키를 무사히 보관할 수 있기를 바란다. 개인적으로 오랫동안 상상했던 일이기도 하다”라고 말했다.
시그스토어는 성공을 위해 널리 채택되어야 한다. 그러나 공급망 공격이 갈수록 심각한 주요 우려 사항으로 나타나는 상황에서 5명의 키 소유자 모두 쉽게 접근할 수 있는 무료 암호화 키는 실제로 사라질 수도 있다. 이와 비슷한 프로젝트인 렛츠 인크립트(Let's Encrypt)도 웹사이트에 무료 암호화 인증서를 발행하고는 전 세계 웹 트래픽 절대다수를 암호화하려는 전 세계 차원의 노력으로 등장한 대형 드라이버가 되었다. 렛츠 인크립트는 지금까지 총 2억 6,000개가 넘는 웹사이트에 암호화 코드 인증서를 발행했다.
오픈소스 보안이 복잡한 한 가지 이유는 웹 전번에 걸쳐 다양한 프로젝트에서 생성된 코드를 쉽게 얻고는 공개 소프트웨어와 사유 소프트웨어 상관없이 다른 여러 종류의 소프트웨어에 설치하기 쉽기 때문이다. 코드를 쉽게 얻고 설치할 수 있는 특성이 공급망 보안 악몽이 됐다. 일부 오픈소스 프로젝트가 제대로 유지가 이루어지지 않거나 이미 아예 포기한 상태인데도 여전히 널리 사용되는 탓이다. 코드 서명이 모든 문제를 해결하는 것이 아니라는 사실은 분명하며, 공급망 해킹은 개발자가 자체 코드 서명을 할 때도 발생할 수 있다. 그러나 날이 갈수록 공급망 공격 수법이 매우 교묘해지는 현실을 고려하면, 서명과 같은 기본 보호 요소를 전혀 두지 않은 프로젝트는 공급망 자체를 위험에 빠뜨린다.
토레스 아리아스 박사는 “오픈소스 코드를 이용한 공급망 보안은 특별한 노력 없이 손쉽게 코드를 얻을 수 있다는 사실을 확인하는 것과 관련이 있다”라고 말했다.
토레스 아리아스 박사를 비롯한 암호화 키 소유자 5명이 참석한 행사는 주로 대기업이나 기관 연구실에서 진행되는 암호화 코드 생성 과정의 투명성을 더한다. 또, 최초의 암호화 키 소유자 5명은 시그스토어가 암호화 코드를 배포한 4개월이라는 불완전한 기간에 모든 책임을 진다. 또, 대중적인 관심을 받는 여러 프로젝트를 위한 코드 서명 생성을 제공하면, 언젠가는 더 중요한 역할을 하게 될 것이다.
힌즈 박사는 “제임스 본드와 같은 첩보 행위를 찾아내는 능력에 안주하지 않는다. 또, 시그스토어의 역할이 향후 매우 커질 수 있을지도 모르는 일 아닌가?”라고 말했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Sigstore 트위터]](/news/photo/202107/3243_4307_3235.jpg)
뉴스레터 신청