앱 개발, 소프트웨어 공급, CI, CD, 프로덕션 환경 및 정책 등 5가지 보안 문제 해결
마이클 맥그래스 앱 에코시스템 엔지니어링 담당 부사장, ‘구글 클라우드 넥스트 2022’ 발표

[보안뉴스 김영명 기자] 구글이 11일 개최한 ‘구글 클라우드 넥스트 2022’에서 공급망 보안을 위한 ‘소프트웨어 딜리버리 실드(Software Delivery Shield)’를 공개했다.


최근 오픈소스를 기반으로 하는 소프트웨어의 확산으로 공공 인프라에까지 널리 도입되면서 사이버공격 노출이 심각해지고 있다. 따라서 개발 및 IT팀은 소프트웨어 개발과 제공을 돕는 코드, 인력, 시스템과 프로세스 전반에 걸쳐 소프트웨어 공급망을 보호하는 더 나은 방법을 요구하고 있다.

구글은 수년 동안 소프트웨어 공급망 보안을 강화하기 위해 SLSA(Supply Chain Levels for Software Articts) 등 공급망 표준 및 프레임워크를 구축해 왔다.

구글이 이번에 발표한 ‘소프트웨어 딜리버리 실드’는 개발자, DevOps 및 보안팀이 안전한 클라우드 애플리케이션을 구축하는 데 필요한 도구를 갖추도록 지원하는 토털 관리 소프트웨어 공급망 보안 솔루션이다. 소프트웨어 딜리버리 실드는 개발자 도구부터 GKE(Google Kubernetes Engine), 클라우드 코드, 클라우드 빌드, 클라우드 배포, 아티팩트 레지스트리, 2진 인증 등과 같은 런타임에 이르기까지 구글 클라우드 서비스 제품군 전반에 걸쳐 있다.

소프트웨어 딜리버리 실드에는 △애플리케이션 개발 △소프트웨어 공급 △지속적 통합(CI) △지속적 전송(CD) △프로덕션 환경과 정책 등 5가지 영역에 걸쳐 보안 문제를 해결하는 기능이 포함됐다. 기업은 기존 환경 및 보안 우선순위에 따라 솔루션을 조정할 수 있다.

첫 번째로, 클라우드 워크스테이션은 개발 단계에서부터 소프트웨어를 보호하기 위해 구글 클라우드에서 완벽하게 관리되는 개발 환경을 제공하는 서비스다. 클라우드 워크스테이션을 사용하면 개발자는 일관된 구성과 사용자 지정 가능한 도구를 사용해 언제 어디서나 브라우저를 통해 안전하고 빠르게 사용자 개발 환경에 액세스할 수 있다.

클라우드 워크스테이션은 소프트웨어 딜리버리 실드의 중요한 부분으로 애플리케이션 개발 환경에서 더 나은 보안환경 제공에 핵심적인 역할을 한다. 클라우드 워크스테이션은 △VPC(Virtual Private Cloud) 서비스 제어 △소스코드의 로컬 저장 불가 △개인 입력 및 출력 △강제 이미지 업데이트 및 IAM(Identity and Access Management) 액세스 정책과 같은 내장된 보안 수단으로 코드 유출, 개인정보보호 위험 등 보안 문제를 해결하도록 지원한다.

구글의 IDE 플러그인 제품군인 클라우드 코드는 미리보기에 소스 보호를 제공한다. 소스 보호는 개발자가 IDE에서 작업할 때 실시간으로 보안 피드백을 제공해 취약한 종속성과 라이센스 보고와 같은 문제를 식별하며, 빠르고 실행가능한 피드백을 통해 개발자는 코드를 즉시 수정할 수 있어 시간과 비용을 절약할 수 있다.

두 번째로, 오픈소스 소프트웨어의 광범위한 사용은 공급망 보안을 어렵게 한다. 소프트웨어 딜리버리 실드 솔루션의 핵심인 Assured OSS는 보안 파이프라인에 내장된 오픈소스 소프트웨어 패키지의 액세스를 제공, 주기적으로 스캔, 분석 및 퍼지 테스트를 통해 보안 취약성을 확인할 수 있다. 애플리케이션 개발 및 제공과 관련된 모든 구성 요소와 종속성에 대한 인벤토리인 SBOM(Software Bill of Materials)을 자동으로 생성해 잠재적 위험 위치를 식별한다.

세 번째로 소프트웨어 딜리버리 실드는 해커가 CI(Continuous integration : 지속적 통합) 및 CD(Continuous Delivery : 지속적 제공) 파이프라인을 손상시켜 소프트웨어 공급망을 공격하는 것을 방어할 수 있다. 소프트웨어 딜리버리 실드 솔루션의 핵심 부분인 CI(Cloud Build)와 CD(Cloud Deploy) 두 플랫폼 모두 세분화된 IAM 제어, VPC 서비스 제어, 격리 및 사용 후 삭제 환경, 승인 게이트와 같은 보안 기능이 내장돼 있다.

네 번째로, 소프트웨어 딜리버리 실드는 운영 중인 애플리케이션 보호를 지원한다. 컨테이너형 애플리케이션을 위한 선도적인 런타임 플랫폼인 구글 쿠버네티스 엔진(Google Kubernetes Engine : GKE)과 클라우드 런(Cloud Run)은 모두 실행 중인 애플리케이션을 보호하는 데 도움이 되는 내장 보안 기능을 갖추고 있다.

GKE는 새로운 보안 경계태세 관리 기능이 추가됐다. GKE는 업계 표준과 GKE 팀의 보안 전문 지식을 기반으로 △상세한 평가 △심각도 등급 할당 △OS 취약성 △워크로드 구성에 대한 통찰력을 포함해 클러스터 및 워크로드의 보안 상태에 대해 조언한다. GKE 대시보드는 보안 문제로 인해 영향을 받는 워크로드를 명확하게 파악하고 해결 가능한 지침을 제공한다.

다섯 번째는 소프트웨어 딜리버리 실드는 소프트웨어 전송 라이프사이클의 각 단계에서 보안 상태를 개선하는 것 외에도 전체 공급망에서의 신뢰 기반 정책 엔진을 갖추고 있다.

Binary Authorization은 신뢰할 수 있는 컨테이너 이미지만 GKE 또는 클라우드 런에 배포되도록 할 수 있는 배포 시간 보안 컨트롤이다. Binary Authorization을 사용하면 DevOps 또는 보안 팀이 개발 프로세스 중에 신뢰할 수 있는 기관에서 이미지를 서명하도록 요구한 다음 배포 시 서명 검증을 시행할 수 있다. 검증을 시행하면 검증된 이미지만 빌드 및 릴리스 프로세스에 통합되도록 해 컨테이너 환경을 보다 엄격하게 제어가 가능하다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>