Red Hat Trusted Software Supply Chain으로 안전한 개발 파이프라인 구축

오늘날 DevSecOps와 소프트웨어 공급망 보안은 안전한 소프트웨어 개발을 위한 화두로 떠오르고 있습니다. 대규모 데이터 유출 사고나 SolarWinds 공급망 공격과 같은 사건을 통해 소프트웨어를 개발하고 배포하는 전 과정에 보안을 내재화하는 것이 얼마나 중요한지 많은 조직이 깨닫게 되었습니다.

 

실제로 보안 업계에서 발표하는 여러 보고서를 보면 최근 많은 조직이 소프트웨어 공급망 공격을 경험하고 있는 것을 알 수 있습니다. 이처럼 심각성이 높아지고 있는 소프트웨어 공급망 공격에 대응하기 위해 DevSecOps(Development + Security + Operations) 문화와 자동화된 보안 파이프라인이 부각되고 있습니다.

 

이번 포스팅에서는 DevSecOps와 소프트웨어 공급망 보안의 기본 개념과 함께 Red Hat Trusted Software Supply Chain이 제공하는 DevSecOps 및 공급망 보안 강화 방안과 주요 기능을 살펴보겠습니다.

 

DevSecOps와 소프트웨어 공급망 보안이란 무엇인가?

DevSecOps는 개발(Dev)과 운영(Ops)에 보안(Security)을 통합한 소프트웨어 개발 방법론입니다. 기존 DevOps가 개발팀과 운영팀의 협업을 통해 소프트웨어의 신속한 배포와 지속적 개선에 초점을 맞췄다면, DevSecOps는 여기에 보안을 처음부터 통합하여 개발 속도를 유지하면서도 안전한 소프트웨어 전달을 목표로 합니다. 모두가 잘 알고 있는 DevOps와의 차이는 무엇일까요?

DevOps 환경에서는 기능 구현이 끝난 후 테스트 단계나 배포 직전 단계에 별도로 보안 점검을 수행하곤 했습니다. 이 경우 보안 취약점이 뒤늦게 발견되어 수정하느라 출시가 지연되거나, 경우에 따라서는 운영 중인 서비스에 보안 문제가 발생하는 위험이 있었습니다.

 

DevSecOps는 이러한 방식을 근본적으로 개선합니다. 개발의 가장 이른 시점부터 보안 검토와 테스트를 통합하여 진행하므로, 코드 작성 단계에서 취약점을 발견해 바로 수정할 수 있습니다. 이러한 접근을 통해 보안상의 결함을 조기에 잡아내면, 개발 후반이나 운영 단계에서 문제를 발견하는 것보다 수정 비용과 노력을 크게 줄일 수 있습니다.

또한, DevSecOps는 보안을 개발 파이프라인에 자동화하여 녹여낸다는 점에서 차별화됩니다. 가령 개발자가 코드를 커밋하면 CI/CD 파이프라인에서 자동으로 정적 분석을 수행하고, 오픈소스 라이브러리의 취약점을 점검하며, 컨테이너 이미지에 대한 취약점 스캔을 실행합니다. 이러한 자동화 도구들은 잠재적인 보안 이슈를 실제 문제가 되기 전에 감지하여 알려주므로, 보안 검증을 개발 프로세스 전체에 걸쳐 지속적으로 수행할 수 있게 합니다.

 

이제 DevSecOps의 중요한 적용 분야인 소프트웨어 공급망 보안에 대해 알아보겠습니다. 소프트웨어 공급망 보안이란, 소프트웨어를 개발하여 최종 사용자에게 전달하기까지 거치는 모든 과정과 구성 요소의 신뢰성과 무결성을 보장하는 것을 말합니다.

이는 제품 생산 라인에 비유할 수 있습니다. 제품을 만드는 원자재 중 하나라도 불량이 섞이면 완제품에 문제가 생기듯이, 소프트웨어도 개발 소스 코드에서부터 외부 라이브러리, 빌드 도구, 배포 인프라에 이르기까지 어느 한 부분에라도 취약점이나 악성요소가 들어가면 최종 결과물이 위험에 노출됩니다 . 참고로 소프트웨어 공급망(Security Supply Chain) 보안은 이 전체에 대한 신뢰성을 지키는 것을 목표로 합니다.

 

Red Hat Trusted Software Supply Chain을 활용한 공급망 보안 강화

앞서 DevSecOps와 공급망 보안의 개념을 살펴보았는데, 이를 실제 현업에서 구현하려면 적절한 플랫폼과 도구의 도움이 필요합니다. 레드햇은 오픈 소스 업계에서 축적한 경험을 바탕으로 DevSecOps와 공급망 보안을 지원하는 다양한 솔루션을 제공하고 있습니다. 이 가운데 Red Hat Trusted Software Supply Chain(이하 TSSC)이라는 포트폴리오는 종합적인 공급망 보안 기능을 제공합니다.

출처: Red Hat

 

TSSC는 안전한 소프트웨어 개발을 위한 솔루션 포트폴리오입니다. 이 포트폴리오는 다양한 솔루션이 통합되어 있고 Red Hat Advanced Cluster Security for Kubernetes, Red Hat OpenShift 같은 다른 솔루션과 유기적으로 연계해 사용할 수 있습니다. 이러한 포괄적인 접근을 통해 소프트웨어 개발 생명주기 전반에 걸쳐 다양한 보안 기능을 제공하여 소프트웨어 공급망의 모든 단계에서 발생할 수 있는 위협을 효과적으로 차단합니다.

 

그 과정을 살펴보자면 먼저, 개발에 사용되는 구성 요소부터 안전하게 관리합니다. 검증된 오픈 소스 구성 요소들을 제공하고, 실시간으로 취약점 정보를 제공하여 개발자가 안심하고 사용할 수 있는 환경을 조성합니다. 또한, Red Hat Trusted Profile Analyzer는 애플리케이션에 사용된 라이브러리의 취약점을 분석하고 실제 악용 가능성을 평가하여 개발팀이 어떤 위험 요소에 우선적으로 대응해야 할지 판단하는 데 도움을 줍니다.

 

소프트웨어 개발 또한 철저하게 관리합니다. TSSC는 안전한 CI/CD 워크플로우를 구축하여 개발 과정을 자동화하고 보안을 강화합니다. 소스 코드 및 빌드 산출물에 대한 투명한 서명 및 검증 시스템을 제공하여 소프트웨어의 무결성을 보장하며, Red Hat Artifact Signer은 소프트웨어 Artifact에 대한 디지털 서명을 통해 출처를 명확히 하고 위변조를 방지합니다.

 

배포 및 운영 단계에서도 보안을 놓치지 않습니다. Red Hat Advanced Cluster Security for Kubernetes는 컨테이너 이미지 및 클러스터에 대한 보안 검사를 수행하고, 정책 기반 접근 제어를 통해 인프라와 애플리케이션을 보호합니다.

 

또한, Admission controls, Policy enforcement 기능을 통해 배포 단계에서 보안 정책 준수 여부를 검사하고, 위반 시 배포를 차단하여 보안 취약점이 있는 소프트웨어가 운영 환경에 배포되는 것을 방지합니다. 이미지 스캐닝, 빌드 과정 보안 강화, 이미지 서명 및 검증 기능을 통해 컨테이너 기반 환경의 보안을 더욱 강화하며, Deployment gates를 통해 배포 단계에서 추가적인 검증 절차를 거쳐 보안 수준을 높입니다. OSS risk profiles 기능으로 오픈 소스 구성 요소의 위험 프로파일을 관리하고 잠재적인 보안 위협에 대한 가시성을 확보하는 것도 중요한 부분입니다.

 

개발 환경 또한 안전하게 조성합니다. 컨테이너 이미지 레지스트리를 통해 이미지를 안전하게 저장, 공유 및 관리할 수 있도록 지원하며, 중앙 집중식 접근 제어 기능을 통해 보안 정책을 일관성 있게 적용할 수 있도록 합니다. git, GitHub, GitLab 등 버전 관리 시스템과의 연동을 통해 소스 코드 보안을 강화하고, 협업 환경을 안전하게 관리합니다.

 

마지막으로, Red Hat OpenShift는 물리, 가상, 하이브리드 클라우드, 엣지 환경 등 다양한 인프라 환경에서 일관된 방식으로 소프트웨어를 개발, 배포 및 운영할 수 있도록 지원하여 인프라 유연성 및 선택의 폭을 넓혀줍니다.

 

이처럼 TSSC는 소프트웨어 개발 라이프사이클 전반에 걸쳐 촘촘한 보안 기능을 제공하여 안전하고 신뢰할 수 있는 소프트웨어 공급망을 구축하는 데 핵심적인 역할을 합니다.

 

아무리 강조해도 지나치지 않은 소프트웨어 공급망 보안을 강화

디지털 시대에 소프트웨어를 개발하고 운영하는 조직이라면 이제 DevSecOps 문화와 공급망 보안 강화는 선택이 아닌 필수라 할 수 있습니다. 이제 DevSecOps 문화와 공급망 보안 강화에 있어 가장 중요한 것은 조직의 사람, 프로세스, 기술 모두가 함께 변화하는 것입니다.

 

DevSecOps를 도입하려면 문화적인 협업과 마인드셋 전환이 필요하고, 적절한 프로세스 정의와 툴체인 통합이 뒤따라야 합니다. 처음부터 완벽할 수는 없겠지만, 작은 서비스부터 CI/CD 파이프라인에 보안 스캔을 추가하고, 점진적으로 자동화 범위를 넓혀가는 식으로 시작할 수 있습니다. 레드햇과 같은 업계 리더의 도움을 받아 검증된 방식을 활용한다면 훨씬 수월하게 보안 내재화 여정을 밟을 수 있을 것입니다.