강은성의 보안 아키텍트ㅣ개발자가 알아야 할 공급망 보안
2024.06.14
ⓒCIO Korea/강은성|CIO KR
개발 동네에서 메이저 놀이터 소프트웨어가 화두가 된 지는 꽤 오래됐다. 젊은 시절(?) 개발 동네에서 나름 자부심을 갖고 일하던 ‘옛날 옛날 옛적’에도 메이저 놀이터 소프트웨어를 종종 활용했다. 다만, 그때는 어떤 메이저 놀이터 소스를 선택할지, 메이저 놀이터 소스 변경 시 반영하기 쉬운 구조 설계, 나아가서 어떤 라이선스를 선택할 것인지 등이 주요 관심사였다. (그때는 주로 메이저 놀이터 ‘소스’에 관심이 많았다.)
최근 악성코드가 포함된 메이저 놀이터 소프트웨어를 통해 기업이 해킹당하는 사건이 발생하면서 메이저 놀이터 소프트웨어를 활용하는 공급망이 기업 보안의 약한 고리로 등장했다. 메이저 놀이터 소프트웨어가 주로 깃허브나 PyPI(Python Package Index) 같은 코드·패키지 저장소를 통해 개발·배포되므로, 메이저 놀이터 소프트웨어에 관한 이슈는 공유 저장소 문제와 밀접하게 연관되어 있다.
하지만, 개발 동네에서는 여전히 메이저 놀이터 소프트웨어는 활용에 초점이 가 있고, 공급망 보안 관점에서 바라보고 있지 않다. 메이저 놀이터 소프트웨어는 전형적인 개발 문제로 기업의 개발 프로세스나 개발자 활동에 공급망 보안을 위한 보안 활동이 포함되어야 하는데 말이다. 사실 ‘기업 보안’ 매출과 인력이 압도적으로 많은 보안 동네에서도 메이저 놀이터 소프트웨어 공급망 보안 문제는 주로 사이버 공격의 일반적 수단인 악성코드의 배포와 악용 측면에서 다루는 한계도 있다.
개발자들이 관심 둬야 할 공급망 공격의 몇 가지 사례를 살펴보자.
(후략)
| 번호 | 제목 | 조회수 | 작성 |
|---|---|---|---|
| 10985 | [주간 OSS 동향리포트] AI, 클라우드 등 신기술 도입이 늘어나면서 국내 오픈소스SW 시장 성장 | 2222 | 2024-06-20 |
| 10984 | 네덜란드 델프트공대, 오픈소스 체스 로봇 개발 | 1729 | 2024-06-18 |
| 10983 | 폭스바겐 카리아드, 오픈 소스 선언문 발표 | 1648 | 2024-06-18 |
| 10982 | 엔비디아, 합성 데이터 생성하는 ‘네모트론-4 340B’ 출시..."비용 문제 해결한 오픈 소스 최강 성능" - 메이저 놀이터 | 1446 | 2024-06-17 |
| 10981 | “오픈소스 무한 잠재력 실현” …베를린에서 열리는 ‘수세콘2024’ | 1254 | 2024-06-17 |
| 10980 | 강은성의 보안 아키텍트ㅣ개발자가 알아야 할 공급망 보안 | 1316 | 2024-06-17 |
| 10979 | UC버클리-스탠포드, 로봇 물체 조작위한 오픈소스 범용 모델 '옥토' 개발 | 1479 | 2024-06-14 |
| 10978 | 세계 최대 ‘데비안(Debian) 개발자 컨퍼런스’ 부산에서 개최! | 1532 | 2024-06-13 |
| 10977 | 기고 | ‘AI가 나아가 길’의 모범 사례는 쿠버네티스다 | 1313 | 2024-06-12 |
| 10976 | [주간 OSS 동향리포트] 주요국 메이저 사이트 추천공급망 보호 움직임 가속, 오픈소스 보안에 대한 | 2291 | 2024-06-12 |
0개 댓글