소프트웨어 공급망 전체를 관리하고 보호하는 것은 신뢰할 수 있는 소프트웨어 릴리스를 제공하기 위한 핵심 요소이지만, 대부분의 경우 이러한 작업은 쉽게 수행할 수 있는 일이 아닙니다.
소프트웨어 보안에 중점을 둔 기업이자 전담 보안 연구 조직을 보유한 JFrog는 현대 조직들이 직면한 위협과 과제를 깊이 이해하고 있습니다. 특히 AI 중심의 세계로 빠르게 전환되는 오늘날, 이러한 과제는 더욱 가속화되고 있으며 대부분의 DevSecOps 팀은 이 변화 속도를 따라잡기 위해 고군분투하고 있습니다.
이 블로그에서는 JFrog의 사용 데이터, CVE(공통 취약점 및 노출) 분석, 그리고 1,400명의 전문가를 대상으로 실시한 외부 설문조사 데이터를 기반으로 한 포괄적인 보고서를 통해 이러한 과제를 해결하는 데 도움을 줄 수 있는 몇 가지 주요 결과를 소개합니다.
해당 분석은 개발 트렌드에 대한 통찰을 제공하고, 위험 요소를 식별하며, 2025년 소프트웨어 공급망을 보호하는 방법을 탐구합니다.
TL;DR: 핵심 트렌드와 인사이트 요약
현대 소프트웨어 환경을 형성하는 4가지 주요 인사이트:
소프트웨어 공급망의 급속한 확장
현대 소프트웨어 공급망은 규모와 속도 면에서 빠르게 성장하고 있습니다. 오픈소스 채택이 계속해서 가속화되면서, 앞서 나가려는 조직들은 최첨단 기술을 신속히 통합하고 있습니다. 이러한 빠른 속도는 혁신을 가능하게 하지만 동시에 새로운 복잡성을 추가하고 있습니다.
위험과 복잡성의 증가
소프트웨어 생태계에서 보안 위험은 점점 더 복잡해지고 있습니다. 단일 CVE(공통 취약점 및 노출)를 분석하는 작업 자체도 이미 정교한 과정이지만, 이는 전체 위협 환경의 일부에 지나지 않습니다. 전반적인 위험 환경은 이전보다 더 깊고 다층적으로 변화하고 있습니다.
보안의 기본 원칙은 여전히 중요
많은 조직이 보안 도구와 프레임워크를 널리 구현하고 있음에도 불구하고, 기본적인 보안 관행에서 여전히 부족함을 보이고 있습니다. 고급 솔루션을 채택하는 경쟁 속에서 필수적이고 검증된 조치들이 간과되면서 중요한 보호 장치에 공백이 생길 위험이 있습니다.
AI 통합의 급속한 가속화
AI는 이제 더 이상 미래의 기술이 아니라, 다양한 생산 환경에서 빠르게 배치되고 있습니다. 이러한 급격한 도입은 혁신과 효율성을 위한 엄청난 기회를 제공하지만, 동시에 거버넌스, 위험 관리 및 책임 있는 구현과 관련된 새로운 과제들을 해결해야 하는 필요성을 제기하고 있습니다.
소프트웨어 공급망은 빠르게 변화하고 있으며, 관리하기 점점 더 어려운 새로운 위협들이 급증하고 있습니다. 단순히 팀에게 더 많은 일을 강요하기보다는, 이제는 더 스마트한 전략으로 전환하는 것이 중요합니다. 도구와 워크플로를 간소화하는 것은 빠른 속도로 혁신하고, 새로운 기술을 도입하며, 치열한 경쟁 환경에서 우위를 유지하려는 기업들에게 필수 요소가 될 것입니다.
소프트웨어 공급망 내부에는 무엇이 있을까?
현대의 소프트웨어 개발 환경은 그 어느 때보다 복잡해지고 있습니다.
현재 조직의 3분의 2는 7개 이상의 프로그래밍 언어를 사용하고 있으며, 절반에 가까운 조직은 10개 이상의 언어를 동시에 사용하고 있습니다. 이처럼 언어와 툴체인이 다양해지면서, 조직은 점점 더 넓은 공격 표면에 노출되고 있습니다.
각 프로그래밍 언어와 도구 체계는 고유한 취약점, 위협 경로, 운영상의 과제를 동반하며, 팀이 커지고 기술 스택이 다양해질수록 모든 환경에 대해 안전하고 일관된 파이프라인을 유지하는 일은 더욱 어려워집니다.
각 생태계는 고유한 위험 요소를 가지고 있으며, 이러한 복잡성을 효과적으로 통제해야만 안전한 애플리케이션을 프로덕션 환경에 안정적으로 공급할 수 있습니다.
오늘날 소프트웨어 생태계의 증가하는 보안 과제
현재 소프트웨어 공급망은 보안 전문가들에게 최우선 과제 입니다.
2024년 한 해 동안 연구자들은 약 33,000개의 신규 CVE(공통 취약점 및 노출)를 식별했는데, 해마다 지속적인 증가 추세를 보이고 있기 때문입니다. 이러한 증가는 단순히 더 많은 오픈소스 소프트웨어가 출시되었음을 뜻하는 것이 아닙니다. 더욱 주목할 점은 CVE의 증가 속도가 오픈소스 패키지 확산 속도보다 더 빠르다는 점으로, 이는 소프트웨어 위험 관리의 복잡성이 점점 커지고 있음을 나타내는 불안한 트렌드입니다
CVE 등급 이해하기
CVSS(Common Vulnerability Scoring System, 공통 취약점 평가 시스템) 점수가 높다고 해서, 반드시 실제 환경에서의 위험도까지 높다고 볼 수는 없습니다. CVSS는 취약점이 악용됐을 때의 잠재적 영향에 초점을 맞추고 있으며, 그 공격이 실제로 발생할 가능성은 고려하지 않습니다.
실제로 많은 취약점은 특정한 배포 환경이나 드문 구성 조건에서 악용됩니다. 최근 주요 CVE 140건에 대한 분석 결과, JFrog의 자체 평가에 따르면 ‘Critical’ 등급의 CVE 중 88%, ‘High’ 등급의 CVE 중 57%는 실제 위험도에 비해 과도하게 평가된 것으로 나타났습니다. 이러한 지속적인 과대평가는 CVE 평가 및 보고 과정에서 구조적인 한계와 신뢰성 문제가 있음을 보여줍니다.
공급망 공격 방지 전략
대부분의 조직은 여전히 개발자가 공개 레지스트리에서 소프트웨어 구성 요소를 직접 다운로드하도록 허용하고 있습니다. 그러나 이러한 방식은 공급망 공격의 위험을 크게 높이는 행위로, 통제 없이 이루어질 경우 단 하나의 손상된 패키지가 전체 조직을 위험에 빠뜨릴 가능성이 있습니다.
보안 취약점의 문제를 넘어서, 이러한 방식은 추적 가능성 자체를 제거한다는 점에서 더욱 심각합니다. 개발자가 인터넷에서 직접 종속성을 가져온다면, 어떤 구성 요소가 사용되고 있는지, 이러한 구성 요소가 어디에서 왔는지 확인할 방법이 없습니다.
이러한 위험을 최소화하기 위해 필요한 것이 바로 중앙 집중식 아티팩트 관리 시스템 입니다. 이 시스템은 공개 레지스트리를 프록싱하여 신뢰 가능한 경로로 구성 요소를 가져오고, 다운로드된 모든 아티팩트를 추적 가능하게 기록하며, 조직의 소프트웨어 공급망 입구를 통제하는 게이트 키퍼 역할을 수행합니다.
AI 및 머신러닝 모델: 새로운 보안 사각지대
머신러닝이 애플리케이션에 점점 더 깊이 통합되면서, 이는 소프트웨어 공급망에 또 다른 형태의 보안 위협을 가져오고 있습니다. 대부분의 조직은 전통적인 소프트웨어 구성 요소와 함께 ML 모델을 포괄적으로 관리할 수 있는 프레임워크를 갖추지 못하고 있으며, 특히 AI 파이프라인의 핵심이 되는 오픈소스 패키지의 전이적 종속성까지 추적하기란 쉽지 않습니다. 어떤 모델이 어디서 유입되고 사용되는지에 대한 가시성이 없다면, AI 공급망에서의 위험 관리는 점점 더 어렵고 위험해질 수밖에 없습니다.
마무리
오늘날처럼 빠르게 변화하는 디지털 환경에서는 소프트웨어 공급망의 복잡성과 변화 속도가 조직의 위험을 높일 수 있습니다. 하지만 이러한 위험이 반드시 혁신을 방해하는 것은 아닙니다.
핵심은 기초적인 보안 원칙을 일관되게 적용하고, 개발 파이프라인을 체계적으로 보호하며, AI 및 오픈소스 생태계 전반을 아우르는 지능적인 도구와 체계를 활용하는 것입니다. 이러한 기반 위에서라면 기술 리더는 가장 다양한 언어와 구성 요소를 아우르는 복잡한 소프트웨어 생태계에서도 민첩성과 회복력, 그리고 경쟁력을 동시에 확보할 수 있을 것입니다.
오는 8월, AI, 오픈소스, 규제 변화 속에서 보안을 DevOps 파이프라인 전반에 통합하기 위한 전략과 사례를 다루는 실용 중심 웨비나가 예정되어 있습니다. 다양한 웨비나 일정과 관련 정보를 놓치지 않으시려면, 지금 바로 슬렉슨 뉴스레터를 구독해주세요.
