2025년 20개 대표 제품 출시가 OO로 인해 지연됨

2023 인사이드 IT 트렌드

2025년에 지능형 자동화 및 클라우드에 의존하는 20개의 대표 디지털 제품(high-visibility digital product)의 출시가, 반도체 및 코드 공급망 문제로 지연될 것. - IDC, IT Industry 2023 Predictions

2020년, 코로나19 사태 이후 우리는 생산시설을 옮긴 기업들이 자국으로 다시 돌아오는 리쇼어링의 트렌드와 자국 최우선 비즈니스 논리를 앞세운 해외 기업 자국 유치, 온쇼어링 역시 목격하고 있습니다. 자국과 자국 기업의 이익 앞에 체면 따위는 없습니다. 정치적 상황을 이용하건, 구매 파워가 있는 기업을 통해 유치하건, 자국 내 완제품 설계/제조/판매를 위해서는 물불 가리지 않고 압박합니다. 이런 전방위 "자국 이익 우선 논리"로 국제정세가 움직입니다.

2022년 12월 6일 - TSMC 애리조나 공장서 연설하는 팀 쿡 애플 CEO. [사진=연합뉴스]

특히 반도체는 리쇼어링의 최우선 필수재가 되었으며, 제조 공장을 넘어 "실리콘 생태계"를 자국 내에 재구축하기 위해 국가의 모든 역량을 집중하고 있습니다. 

코드 역시 마찬가지입니다. 미 행정부 차원에서 "코드 공급망" 안정화를 위해 정책을 내고 있으며 글로벌 클라우드 기업과 대표 오픈소스 프로젝트 모두 이를 핵심 어젠다로 집중하고 있습니다.

반도체 공급망 문제는 국가 차원의 디지털 산업 위기

2021년 코로나19 사태로 자동차 제조업체에 반도체 공급망 지연 사태가 발생하면서, 자동차 제조 지연 문제가 발생, 급기야 산업 전반에 병목을 만들고 침체된 경제에 직격탄이 되는 국가적 차원의 위기를 겪었습니다. 반도체 부족 사태가 급기야 국가 간의 반도체 쟁탈전으로까지 번진 이 여파는 2년이 지나 현재 진행형입니다. 반도체뿐만 아니라 이제 배터리 분야도 같은 길을 가고 있습니다. 차세대 제조 산업의 핵심 부품과 희토류 자원은 외교적 문제를 넘어 국가 간의 이해관계가 첨예하게 얽힌 국제 관계를 재편하고, 급기야는 카르텔 성격의 무기화 움직임까지 보이고 있습니다. 미국은 정부차원에서 이미 반도체 및 배터리 생산에 대한 여러 정책과 부양책을 내놓고 있으나, 여전히 지역적인 공급 부족은 2025년까지 발생할 것으로 예측되며, 공급망 안정화가 되지 않은 국가나 지역은 산업 전반에 대한 리스크가 높을 것으로 예측됩니다.

2023년에 급부상하는 코드 공급망 문제

개발자가 아니라면 "코드 공급망(code supply chain)"은 다소 생소할 수 있습니다. 

서플라이 체인, 즉 공급망은 제조업의 용어입니다. 공급망을 풀어 설명하면 제조 및 공급하기 위해 필요한 프로세스 체인, 계획, 자재, 제조를 의미합니다. 코드 공급망도 같습니다. 애플리케이션을 개발하기 위해서도 이러한 공급망이 필요합니다. 

멀리 볼 필요 없이 모든 산업과 기업, 공공 비즈니스에 사용되는 인공지능, 빅데이터, 클라우드 컴퓨팅, 5G, IoT, 바이오, 블록체인, 양자컴퓨터와 같은 핵심기술 모두가 소프트웨어 즉, 코드 위에서 동작하기 때문입니다. 

그게 뭐 어때서요?
구매하거나 오픈소스 가져다 쓰는 게 공급망과 무슨 상관입니까?

오늘날의 애플리케이션은 더 이상 개발자가 하부 시스템부터 한 땀 한 땀 수작업으로 개발하는 패턴으로 제작되지 않습니다. 거의 모든 애플리케이션은 기술을 공급하는 타사의 코드와 API는 물론, 오픈소스 기반의 프레임워크와 라이브러리 등을 조합해 속도감 있게 개발합니다. 애플리케이션 개발에 생산성이 중요 팩터가 되면서 이러한 레고 블록 조립 같은 제작 패턴 개발은 지극히 일반적이고, 실제로도 생산성과 빠른 결과를 가져오는 프로세스입니다. 

우리가 디지털 비즈니스를 위해 개발하는 애플리케이션은 수많은 복잡한 외부 구성요소에 종속되어 있다.

소재가 공급되고 완성품으로 소비된다. 이렇게 보면 반도체 같은 산업재와 코드 둘 다 "공급망의 핵심 소재" 측면에서 큰 차이가 없어 보이지만, 유한재인 소재와 다르게 무한재인 코드는 공급 부족과 부관해 보입니다. 

코드는 무한정 복제 가능하고, 네트워크 위에서 전 세계 어디든 떠다니는 이동성(portability)이 있습니다.
무한재에 가까운 코드에 무슨 근거로 "코드 공급망 문제"가 발생한다는 것입니까? 

코드 공급망 공격

솔라윈즈(SolarWinds) 사태

2020년 12월 솔라윈즈 사태는 미 상무부, 재무부, 국토안보부, 국무부, 미국 에너지부(Department of Energy)와 핵무기 비축량을 관리하는 미 핵안보국-NNSA(National Nuclear Safety Administration) 은 물론 글로벌 빅테크 기업과 보안 기술을 제공하는 보안업체들도 취약점에 노출되어 공격을 받은 사실이 확인되었습니다. 이 공격이 지정학적 리스크와 맞물리는 이유는, 특정 국가의 의도적인 공격임이 거의 확실하기 때문입니다.

https://zdnet.co.kr/view/?no=20210122194956

美 뒤흔든 솔라윈즈 해킹, 10개월간 못 찾은 이유는?

코드코브(Codecov) 공격

코드코브 공격은 발상이 다릅니다. 전 세계적으로 90% 이상의 개발 및 배포에 사용되는 컨테이너(container)와 도커(docker) 기술. 간략히 컨테이너는 독립적인 실행이 가능한 가상화 기술이며, 도커는 이 컨테이너를 만드는 데 사용되는 필요한 파일과 설정을 포함하는 이미지입니다. Codecov 사태는 이 도커 이미지 생성에 사용되는 코드를 변조해 해커가 원하는 명령을 수행하도록 재작성되었습니다. 예를 들어, 도커 이미지 생성 스크립트는 이런 패턴입니다. 

이 공격의 특이점은 DevOps의 CI(continous integration) - 자동 코드 통합 테스트 과정과 CD(continous deployment) 자동 통합 및 배포 과정을 활용했다는 것입니다. DevOps라는 개발과 배포, 운영 통합 프로세스가 새로운 위협과 취약점을 만든 것입니다. 결국 CI/CD 과정에서 자동으로 코드를 점검하는 서비스를 제공하는 회사의 핵심 비즈니스가 수개월간 해킹의 숙주로 사용되는 사태가 발생한 것입니다.

https://www.boannews.com/media/view.asp?idx=96653

코드 점검 서비스 회사 코드코브, 수개월 동안 침해 사실 몰랐다

log4j 사태

사상 최악의 원격 코드 실행 취약점 공격으로 불리는 log4j 사태입니다. 애플리케이션의 상태를 기록하는 로그(log) 기능을 손쉽게 추가할 수 있는 오픈소스 프로젝트로 Java로 개발된 애플리케이션에서 거의 모두 사용합니다. 사상 최악으로 불리는 이유는 이렇게 오랜 시간 동안 워낙 많이 사용되고 있으며, 자사의 애플리케이션이 log4j 오픈소스로 개발된 것조차 모르는 채 SI 서비스의 일부로 납품되었기에 여전히 수많은 애플리케이션에서 보안패치가 적용되지 않고 현재도 운영되고 있기 때문입니다.

https://www.boannews.com/media/view.asp?idx=105393

[카드뉴스] 최악의 보안 취약점 Log4j

매년 발생하는 크리티컬 수준의 코드 보안 문제는 IT 인프라를 멈추고 점검 및 대처해야 할 정도로 높은 위험성을 보이며, 대응방안이 나올 때까지 기업의 디지털 비즈니스 서비스 지연을 야기할 수 있습니다. 

기업에게 핏줄과도 같은 공급망 측면에서 보면, 디지털 비즈니스의 핏줄인 코드 역시 중요한 공급망 자재입니다.

아래의 이미지는 Synopsys 사에서 공개한 2022 오픈소스 보안과 위협 분석 리포트 일부입니다. 수치의 정확성보다는 위협이 지속되고 있다 정도로 참고하세요.

2022 Synopsys report - 2022년 오픈소스 사용량과 취약점

리포트 링크: https://www.synopsys.com/content/dam/synopsys/sig-assets/reports/rep-ossra-2022.pdf

2023년, 코드는 왜 과거보다 더 취약하고 문제가 많은가?

공급망 문제와 마찬가지로 점점 더 많은 소프트웨어가 기술을 공급하는 타사의 코드와 API는 물론 오픈소스 기반의 프레임워크와 라이브러리 코드를 조합해 개발하기 때문입니다. 

누군가의 오픈소스 코드는 다른 누군가가 만든 오픈소스 코드를 상속받아 개발되며 상속되는 계층만큼 복잡성이 쌓이고, 공개된 오픈소스는 "코드가 모두 공개되었다"라는 이유만으로 신뢰합니다. 

"네임드 보안 전문 기업이 만들어서 괜찮다. 전체 코드가 공개된 10년 이상 사용된 오픈소스라 괜찮다"라는 무지성 신뢰가 코드 공급망 붕괴 리스크를 높이고 있다. 

반도체와 코드 역시 공급망 측면에서 보면 다르지 않습니다. 이런 코드 공급망 문제는 비단 디지털 비즈니스를 위해 애플리케이션과 서비스를 개발하고 운영하는 기업의 위협뿐만 아니라, 오픈소스 기술을 클라우드 서비스로 개발한 클라우드 벤더는 물론, 솔라윈즈, 하트블리드 사태처럼 국가 핵심 기간 시스템의 유지와 존속에도 지대한 위협이 되고 있습니다. 

앞으로 우리가 만들고 서비스할 디지털 제품의 출시가 이런 코드 공급망의 문제로 지연될 수 있습니다. 그렇다면 이러한 코드 공급망 위협을 기업 차원에서 어떻게 대비할 수 있을까요? 

SBOM(Software Bill of Materials) 작성

SBOM의 정의는 소프트웨어 패키지 및 구성 요소 등 고유하게 식별 가능한 형식으로 기계가 읽을 수 있는 메타데이터, 저작권 및 라이선스 등 소프트웨어 콘텐츠에 대한 기타 정보들을 포함하는 명세서입니다. 과자 봉지 뒤에서 쓰여있는 식품 원재료 표시와 같습니다. 이 소프트웨어가 무엇으로 만들어졌는지를 상세하게 목록화하고 관리하는 것만으로도 선제적 대응이 가능합니다. 

SBOM이 안착하게 된 트리거가 된 사건은 위에서 알아본 솔라윈즈 사태로 미 행정부가 관련 지침 작성을 반강제로 강제해 업계에 안착하고 있습니다. 이미 많은 소프트웨어 기업과 오픈소스 기업은 이러한 SBOM을 여러 형태로 지원하고 있었으며, 마이크로소프트는 아예 github에 자사에서 소프트웨어 BOM에 사용하는 이 SBOM 도구를 공개해 두었습니다.

2023년, 모든 IT 개발 조직과 기술 공급자는 모든 구성요소를 나열하는 SBOM을 반드시 적용해야 합니다. 소프트웨어의 어느 구성요소에서 어떤 일이 생기는가? 지속적인 업데이트와 취약점 공개를 SBOM으로 빠르게 대응하고 보완할 수 있습니다. 당연하겠지만, 신뢰할 수 있는 외부 컴포넌트, 오픈소스와 및 외부 코드 공급업체에 대한 지속적인 3자 감사 및 평가 역시 코드 공급망 리스크 완화에 필수적입니다.

DevSecOps, DevOps + Security 적용

DevOps 애플리케이션 개발 라이프사이클 - 출처 Microsoft DevOps

이 IT 트렌드 2023 포스팅을 보고 계시다면, 조직에서 이미 DevOps를 활용하고 계실 겁니다. DevOps는 개발부터 배포, 운영환경까지 이어지는 절차로 개발팀과 운영팀 협력을 단일 프로세스로 통합해 비용을 낮추고 애플리케이션 배포 속도를 비약적으로 증가시키는 협업 모델입니다. 그리고, 이 모델에 보안 "Security"를 통합하면 DevSecOps가 되고, DevSecOps를 적용해 오늘의 주제인 코드 공급망 리스크를 완화할 수 있습니다. 

DevSecOps Why, What, When - 출처 Microsoft devSecOps

DevSecOps는 개발팀과 IT 운영팀 모두 시스템을 안전하게 개발/유지해야 하는 연속적이고 지속적인 노력입니다. SBOM과 마찬가지로, 절차와 패턴에 의해 이러한 보안 기반 패턴을 강제하고 제어할 수 있습니다.

좀 더 기술적 측면으로는 코드 저장소, 코드 빌드 및 배포, 테스트 절차는 물론 컨테이너와 도커 이미지에 대한 보안 검사, CI/CD 에이전트 및 표준 Key vault를 이용한 자격증명(credential) 및 접근 제어(access control) 등 거의 모든 표준 보안 절차를 DevOps에 통합할 수 있고, 이 과정을 통해 보안성을 높이고 코드 공급망 리스크를 완화할 수 있습니다.

연결의 시대와 공급망 문제

연결성이라는 4차 산업혁명의 핵심인 인공지능, 빅데이터, 클라우드 컴퓨팅, 5G, IoT, 바이오, 블록체인, 양자컴퓨터 등 모든 핵심 기술이 반도체, 코드와 같은 핵심 산업재로 구축되어 있으며, 이는 모두 오늘 살펴본 공급망 문제에 노출되어 있습니다. 

IT 인프라에 이중화와 결함 허용 시스템(Fault tolerant system)을 구축해 장애에 대비하는 것처럼 지금까지 당연하게 여겨왔던 코드 산업재들의 공급망도 고려해야 하는 지정학적 리스크와 불확실성의 시대가 왔습니다. 다행인 것은 2023년 빠르게 여러 국제적 리스크가 완화될 것으로 예측되고, 2025년 이후로 공급망 위기 단계가 낮아질 것으로 예측되고 있습니다. 다음과 같은 사항을 기업의 전사적 관점에서 고려할 수 있습니다.

- 개발팀, IT부서의 신속한 애플리케이션 개발도 중요하지만, SBOM/DevSecOps와 같은 절차와 모델을 기업의 핵심 프로세스로 정립하여 위협을 방지하고 대응합니다.

- 클라우드 벤더의 PaaS 기반 오픈소스 기술은 하부 인프라와 미들웨어에 대한 보안 위협을 완화하므로 IaaS 기반 애플리케이션을 줄이면서 점진적인 도입을 진행합니다.

- IT부서와 CTO, 사업부서 모두 비즈니스 연속성을 위해 전략적인 리소스/자산에 대한 중복을 고려해야 합니다.

- 5000대 기업 고객 80%는 2023년까지 IT 공급 위협으로부터 능동적인 보호를 위해 멀티 소싱 전략을 채택할 것. - IDC

- 글로벌 비즈니스를 전개하는 2000대 기업 80가 공급망 중단 위협을 예측/대응하기 위해 인텔리전스 투자를 확대할 것. - IDC

- 2028년까지 물류 창고 등에서 사용하는 로봇공학 및 자동화 비율이 10배 증가하여 생산성이 30% 향상될 것 - IDC

이 IT 트렌드 2023을 통해 차근차근 위협에 대비하고 디지털 비즈니스를 준비하셔서 더 좋은 성장의 기회가 지속하길 바랍니다.

참고 링크:

https://wire19.com/it-industry-predictions-by-idc/

Top 10 IT industry predictions by IDC

https://www.cio.com/article/410720/10-future-trends-for-working-with-business-leaders.html

10 future trends for working with business leaders

https://cwongproductions.com/blog/f/idc-predictions-for-connectedness-in-2023-and-beyond

IDC predictions for connectedness in 2023 (and beyond)

https://www.techrepublic.com/article/idc-it-predictions/

https://dream.kotra.or.kr/kotranews/cms/news/actionKotraBoardDetail.do?SITE_NO=3&MENU_ID=180&CONTENTS_NO=1&bbsGbn=243&bbsSn=243&pNttSn=187176

KOTRA 해외시장뉴스

https://learn.microsoft.com/en-us/devops/what-is-devops

What is DevOps? - Azure DevOps

https://learn.microsoft.com/en-us/devops/operate/security-in-devops

Security in DevOps (DevSecOps) - Azure DevOps

https://cloud.google.com/software-supply-chain-security/docs/attack-vectors?hl=ko

소프트웨어 공급망 위협 | 소프트웨어 공급망 보안 | Google Cloud

이미지 출처: https://pixabay.com/