다양한 산업 분야의 기반이 되는 각종 기술이 고도화되면서 자동차, 반도체 등 복잡한 기술사항이 요구되는 제품들은 더 이상 하나의 공급업체가 모든 구성요소 및 소프트웨어를 개발하거나 생산할 수 없게 되었다. 

이에 따라 글로벌의 다양한 공급업체로부터 각 제품 및 소프트웨어를 공급받아 하나의 완성된 제품을 출시하는 공급망(Supply Chain)이 형성되고 있다.

4차 산업혁명의 발전으로 각 산업 분야의 융합이 진행되고 클라우드 기반의 각종 ‘서비스형’ 산업의 범위가 확장되면서 다양한 분야의 협력업체가 증가하게 되어 공급망의 연결 관계는 더욱 복잡해지고 있다.

지난 글에 이어 이번 글에서는 소프트웨어(SW) 고도화로 더욱 중요해지고 있는 자동차산업계의 공급망 이슈에 대해 알아본다.

공급망 보안 관리를 위한 대응방안은 각 산업의 전반적인 분야에 걸쳐 구축되어야 하지만 특히 자율주행차, 스마트카의 등장으로 각 구성요소와 소프트웨어가 급격히 고도화되고 있는 자동차 산업 분야에서는 공급망을 통한 소프트웨어 공급 프로세스와 관련된 많은 문제점으로 인해 보안 강화의 필요성이 커지고 있다. 

그러나 임베디드소프트웨어가 포함된 전자기기나 자동차 부품 등은 완제품 형태로 공급되기 때문에 일반적으로 소스코드가 아닌 바이너리 파일만 제공하여 소프트웨어 내 취약점을 점검하는 것이 어렵다.

또 취약점을 점검한다 하더라도 최종 검수단계에서 일회성의 보안 점검에 그치기 때문에 소프트웨어를 사용하는 기간동안 발생할 수 있는 새로운 취약점이나 진화한 보안 위협에는 무방비 상태로 노출, 지속적인 보안 모니터링을 수행하는 것 또한 어려워 효과적인 공급망 보안 관리가 어려운 실정이다. 

쿤텍이 공급하는 멀티 플랫폼 바이너리 점검 도구 ‘사이벨리움(Cybellum)’은 소스코드에 접근하기 어려운 환경에서도 바이너리 파일만으로 보안 위협을 검증하고 지속적인 모니터링까지 수행할 수 있어 이러한 소프트웨어 취약점 점검의 문제를 해결하고 공급망 소프트웨어의 CSMS(Cybersecurity Management System)을 구현하는 점이 특징이다.

사이벨리움은 심볼파일(Symbol File)이 없어도 펌웨어 형태의 바이너리 파일만으로 소프트웨어 내 잠재적인 위협을 탐지할 수 있어 소프트웨어 공급망에 대한 안정적인 보안 강화를 지원한다. 

MIPS, NXP, x86, x64, ARM, PowerPC, TriCore 등 포괄적인 아키텍처와 OS 등 다양한 펌웨어 포맷을 지원하고 머신러닝(ML) 기반의 고도화된 정적 분석 엔진, 런타임 에뮬레이션 기술을 이용한 동적 분석 엔진을 토대로 바이너리 파일만으로 알려진 보안 취약점에 대한 정확하고 상세한 탐지를 수행하는 점 또한 특징이다.

이외에도 메모리 손상, 메모리 참조, 네트워크 취약점, 기능 오용 등 알려지지 않은 취약점까지 탐지하고 잘못된 보안 구성, 정보 유출, 컴플라이언스, ELF 완화 정도, 오픈소스라이선스 정보 등 다양한 소프트웨어 구성요소를 파악하고 위험 상태를 노출하는 위협정보를 탐지하여 효율적인 소프트웨어 보안 강화를 지원한다. 

사이벨리움은 별도의 에이전트 없이 웹UI에서 파일을 업로드하는 것만으로 분석 및 모니터링을 수행할 수 있어 사용의 편의성도 확보한 상태다.

특히 디지털트윈(Digital Twin) 기술을 기반으로 사이버위협 정보에 대한 실시간 모니터링 및 자동 업데이트 패치를 수행하고 기존의 분석 결과에 대한 지속적인 영향 분석을 수행하여 재 분석 없이도 실시간 위협 인텔리전스를 제공할 수 있어 효율적인 보안 위협 대응을 지원해 주목받고 있는 툴이다.

기존 소프트웨어 공급 프로세스의 복잡성을 줄이고, 취약점 관리의 영역을 확장하여 취약점 관리에 소요되는 시간을 단축하는 것은 중요한 과제다. 

제한적인 보안 인력만으로 소프트웨어의 개발 초기단계부터 생산-운영-제품의 폐기에 이르는 전체 라이프사이클 전반에 걸쳐 체계적이고 효과적으로 보안위협을 관리할 수 있는 공급망 소프트웨어의 완전한 CSMS(Cybersecurity Management System)를 구현하는 것이 필수임을 명심해야 한다.

글: 나 가 진 / TND1팀 팀장 / 쿤텍