“인공지능(AI)과 자동화로 모든 게 연결되고 하나의 취약점 전체를 무너뜨릴 수 있는 시대가 왔다.
데이터·소프트웨어·하드웨어가 연결된 AI 보안은 차단보다 가시화가 핵심이다.”
이희조 고려대학교 교수는 23일 인천 송도 컨벤시아에서 열린 AI 보안 서밋 ‘AI 시큐리티 넥스트 2025’에서 이같이 밝혔다. 이날 이 교수는 ‘AI시대, SBOM·VEX로 지키는 공급망 보안’을 주제로 발표하며 보안 개념이 ‘정보보호’, ‘컴퓨터 보안’, ‘소프트웨어 보안’을 거쳐 현재 ‘공급망 보안’으로 발전하고 있다고 전했다.
또 소프트웨어는 하드웨어 달리 겉으로 드러나지 않아 관리가 어렵다고 짚었다. 이 교수가 인용한 자료에 따르면, 상위 2만개 오픈소스 분석에서 새 버전 소프트웨어에도 기존 코드 약 97% 재사용되는 것으로 나타났다. 이로 인해 오래된 취약점이 장기간 방치되면 공격에 악용될 위험이 크다고 설명했다.
이 교수는 SBOM을 ‘부품 출처를 기록하는 장부’에 비유했다. 가령 하나의 균열이 있는 벽돌이 성벽 전체를 무너뜨리듯, 어떤 코드와 오픈소스를 썼는지 모르면 공급망 보안 전체가 위험해질 수 있다는 것이다. 이에 SBOM은 포함된 시스템 내 오픈소스 및 사용 컴포넌트 구성 정보를 투명하게 기록해 취약점 발생 시 영향 범위를 즉시 파악할 수 있게 해준다고 설명했다.
또 VEX는 SBOM의 알려진 취약점이 실제로 제품 보안에 어떤 영향을 미치는지를 표준화된 형식으로 정리, 공급망에서 가시성을 확보하는 역할을 한다고 전했다.
그는 “솔라윈즈(SolarWinds) 사태처럼 우리 시스템에서 치약 모듈이 있는지 모르는 상태가 위험하다”며 이런 부분의 대안으로 SBOM 기반의 공공망 보완 및 제도가 제시됐다”고 말했다.
이에 따르면 IoTcube 2.0은 화이트 박스·블랙박스 테스팅 등 20여종 분석 도구를 탐재해 사용자가 소프트웨어 파일만 올리면 코드 단위의 서브 컴포넌트와 의존관계를 자동으로 찾아내게 도와준다. 햇봄은 SBOM·VEX를 기반으로 구성요소·취약점·의존관계를 시각화해 보여주며 현재 한국정보보호산업협회(KISIA)와 협력해 민간 기업 대상 실증을 진행중이다.
그는 “이를 통해 소프트웨어의 구성과 버전, 보안 문제를 자동으로 명세할 수 있고 치명적 취약점이 발견되면 그 컴포넌트가 어디에 쓰이는지 바로 파악해 즉시 대응할 수 있다며 전체 버전업에 불가능한 경우에는 ‘어느 코드만 수정하면 되는지’를 알 수 있게 한다고” 말했다.
그러면서 “2027년까지 공공기관에 사용하는 모든 소프트웨어에 SBOM관리가 시작될 가능성이 높다”며 이런 부분을 시행하게 되면 치안이나 공공부분에서도 더 믿을만하고 안전한 시스템 운영이 가능할 것”이라고 덧붙였다.
[기사 원문 링크]
https://www.epnc.co.kr/news/articleView.html?idxno=323864