현대적인 소프트웨어 공급망 보안 개선: AI 모델에서 컨테이너 이미지까지

소프트웨어 공급망은 최근 몇 년간 극적으로 진화했습니다. 오늘날의 애플리케이션은 오픈소스 라이브러리와 컨테이너 이미지에서 AI 모델과 훈련 데이터세트에 이르기까지 수많은 구성 요소를 통합합니다. 각 요소는 조직이 이해하고 검증하며 지속적으로 모니터링해야 하는 잠재적인 보안 위험을 나타냅니다. 공급망 공격의 빈도와 정교함이 증가함에 따라 기업은 아티팩트 무결성과 소프트웨어 종속성에 대한 심층적인 가시성을 모두 제공하는 통합 솔루션이 필요합니다.

Red Hat의 최신 Red Hat Trusted Artifact Signer 1.3 및 Red Hat Trusted Profile Analyzer 2.2 릴리스는 암호화 서명 기능과 고급 공급망 분석의 강력한 조합을 제공합니다. 이는 AI 기반 애플리케이션의 새로운 복잡성을 포함하여 현대적인 소프트웨어 보안 과제의 전체 스펙트럼을 해결합니다.

공급망 보안의 복잡성 증가

현대적인 애플리케이션은 복잡한 종속성 웹을 생성하는 다양한 구성 요소로 구축됩니다. 기존 소프트웨어에는 운영 체제(OS) 패키지, 애플리케이션 라이브러리, 컨테이너 베이스 이미지가 포함됩니다. 그러나 오늘날의 AI 기반 애플리케이션은 머신 러닝(ML) 모델, 학습 데이터세트, 추론 프레임워크로 인해 복잡성이 가중되며, 각각 전문적인 보안 고려 사항이 필요합니다.

이러한 복잡성은 여러 공격 벡터를 초래합니다. 악의적인 행위자는 빌드 시 리포지토리에 코드를 주입하거나, 배포 시 합법적인 패키지를 악성 버전으로 교체하거나, 취약한 검증 프로세스를 악용하여 소프트웨어를 손상시킬 수 있습니다. 2025년에 발생한 유명 npm 패키지 공급망 공격은 단 하나의 컴포넌트(구성 요소)가 침해되는 것만으로도 수천 개의 하위 조직에 영향을 미칠 수 있음을 여실히 보여주었습니다.

Trusted Artifact Signer 1.3을 통한 암호화 무결성

Trusted Artifact Signer 1.3은 모든 소프트웨어 아티팩트에 엔터프라이즈급 암호화 서명 및 검증을 제공하여 이러한 문제를 해결하는 데 도움이 됩니다. 오픈소스 Sigstore 프로젝트를 기반으로 구축된 Trusted Artifact Signer는 소프트웨어 공급망의 모든 구성 요소가 서명되고 나중에 신뢰성과 무결성을 검증할 수 있도록 지원합니다. 이 솔루션은 OIDC(OpenID Connect) ID 클레임과 서명된 타임스탬프를 서명에 추가하여 보안 기능과 감사 가능성을 강화합니다.

AI 모델 보안

Trusted Artifact Signer 1.3에 추가된 가장 중요한 기능 중 하나는 AI 모델 배포에 암호화 무결성을 제공하는 모델 투명성 라이브러리입니다. ML 모델을 배포할 때 시스템은 모델과 관련 파일 및 메타데이터에 대한 암호화 해시를 생성하여 직렬화된 매니페스트에 저장합니다. 이 매니페스트는 변조를 방지하기 위해 암호화된 방식으로 서명되고 분리된 서명으로 저장됩니다.

통합된 모델 검증 오퍼레이터는 특정 레이블 및 사용자 정의 리소스에 대한 OpenShift 네임스페이스를 모니터링하여 이러한 보호 기능을 강화하여 배포 전에 서명된 모델을 자동으로 검증할 수 있도록 합니다. 이를 통해 신뢰할 수 있고 검증된 AI 모델만 프로덕션 시스템에 도달할 수 있으며, 이는 조직이 비즈니스 크리티컬한 의사 결정을 위해 ML에 점점 더 의존하게 되면서 매우 중요한 기능입니다.

엔터프라이즈급 고가용성

Trusted Artifact Signer 1.3은 엔터프라이즈 환경에서 확장, 스케줄링, 리소스 관리를 위한 세분화된 구성 기능을 도입합니다. 이제 조직은 포드 선호도 규칙을 관리하고, 노드 taint에 대한 toleration을 설정하고, 고가용성을 위해 여러 복제본을 구성하고, 정확한 리소스 요청 및 제한을 정의할 수 있습니다. 이러한 엔터프라이즈 중심의 접근 방식은 최대 부하 또는 인프라 장애 시에도 암호화 서명 및 검증의 가용성을 지원합니다.

투명성 및 모니터링

이 플랫폼은 Rekor 투명성 로그의 무결성을 지속적으로 검증하여 추가 전용이고 변경 불가능한 상태로 유지됩니다. 이 검증 프로세스는 구성 가능한 일정에 따라 실행되므로 서명된 아티팩트의 기록 레코드가 변조되지 않은 상태로 유지된다는 지속적인 보증을 제공합니다. S3 및 Google Cloud Storage와의 새로운 클라우드 스토리지 통합은 증명 스토리지를 위한 유연한 옵션을 제공하며, 외부 Redis 데이터베이스 지원은 대규모 투명성 로그 전반에서 향상된 검색 기능을 제공합니다.

Trusted Profile Analyzer 2.2를 통한 종합 분석

Trusted Artifact Signer가 암호화 서명을 통해 아티팩트 무결성을 지원하는 반면, Trusted Profile Analyzer 2.2는 복잡한 소프트웨어 공급망을 이해하고 관리하는 데 필요한 가시성과 분석 기능을 제공합니다. 최신 릴리스는 현대적인 애플리케이션의 복잡성 증가를 해결하는 몇 가지 주요 개선 사항을 도입했습니다.

규모에 따른 라이센스 컴플라이언스

Trusted Profile Analyzer 2.2의 새로운 라이센스 검색 기능을 통해 조직은 저장된 모든 SBOM(Software Bills of Materials)에서 특정 라이센스 유형을 검색할 수 있습니다. 이를 통해 라이센스 컴플라이언스를 중앙에서 확인할 수 있으므로 수백 또는 수천 개의 소프트웨어 구성 요소 전반에서 법적 및 정책 요구 사항을 훨씬 더 쉽게 관리할 수 있습니다. 보안 및 컴플라이언스 팀은 개별 SBOM을 수동으로 검토하는 대신 특정 라이센스를 사용하여 모든 구성 요소를 신속하게 식별하고, 위험을 평가하고, 소프트웨어 스택의 모든 구성 요소와 종속성에 대한 정책 및 법적 컴플라이언스를 확인할 수 있습니다.

간소화된 컨테이너 보안

Quay와의 통합이 강화되어 컨테이너 보안 데이터를 분석 플랫폼으로 가져오는 프로세스가 간소화됩니다. 이제 조직은 Quay 또는 모든 OCI 레지스트리에서 SBOM을 수집하거나 컨테이너 이미지에 대한 자동 SBOM 생성 및 수집을 구성할 수 있습니다. 이를 통해 수동 프로세스를 줄이고 항상 최신 데이터를 기반으로 보안 분석을 수행할 수 있으므로 조직이 새로 발견된 위협에 취약해질 수 있는 지연 시간이 제거됩니다.

AI 공급망 가시성

현대적인 애플리케이션에 가장 중요한 기능으로, Trusted Profile Analyzer 2.2는 AIBOM(Artificial Intelligence Bills of Materials) 수집 및 분석을 도입했습니다. 이 기능을 통해 조직은 보안 및 컴플라이언스 분석에 ML 모델과 같은 AI 관련 구성 요소를 포함할 수 있습니다.

AIBOM은 모델 출처, 학습 데이터 소스, 알고리즘 종속성을 포함하여 전체 AI 공급망에 대한 향상된 가시성을 제공합니다. AI 모델이 비즈니스 운영의 중심이 되고 AI 거버넌스를 위한 규제 프레임워크가 계속 진화함에 따라 이러한 포괄적인 관점은 필수적입니다.

통합 솔루션

Trusted Artifact Signer 1.3과 Trusted Profile Analyzer 2.2를 결합하면 무결성과 가시성을 모두 해결하는 통합 공급망 보안 플랫폼을 구축할 수 있습니다. Trusted Artifact Signer를 사용하면 컨테이너 이미지에서 AI 모델에 이르는 모든 구성 요소를 암호화 방식으로 서명하고 검증할 수 있습니다. Trusted Profile Analyzer는 종속성을 이해하고, 워크로드 컴플라이언스를 관리하고, 전체 소프트웨어 공급망에서 위험을 모니터링하는 데 필요한 분석 기능을 제공합니다.

이러한 통합 접근 방식을 통해 다음과 같은 몇 가지 주요 보안 성과를 달성할 수 있습니다.

자동화된 신뢰 검증: 조직은 배포 전에 모든 소프트웨어 구성 요소의 무결성을 자동으로 검증하여 변조되거나 무단 아티팩트의 사용을 방지할 수 있습니다.

포괄적인 컴플라이언스: 중앙화된 라이센스 분석 및 감사 추적은 규정 컴플라이언스 요구 사항을 지원하는 동시에 수동 오버헤드를 줄입니다.

AI 지원 보안: AI 모델 서명 및 AIBOM 분석에 대한 기본 지원을 통해 조직은 AI 기반 애플리케이션의 보안 과제에 대비할 수 있습니다.

확장 가능한 운영: 고가용성 구성과 클라우드 스토리지 통합을 통해 조직의 성장에 따라 공급망 보안을 확장할 수 있습니다.

향후 전망

소프트웨어 공급망이 계속 진화함에 따라 암호화 무결성과 포괄적인 분석의 결합이 점점 더 중요해지고 있습니다. AI 구성 요소를 통합하면 기존 보안 툴로는 해결할 수 없는 새로운 공격 벡터와 컴플라이언스 요구 사항이 발생합니다.

Trusted Artifact Signer와 Trusted Profile Analyzer를 구현하는 조직은 보안을 개선할 뿐만 아니라 운영상의 이점도 얻을 수 있습니다. 자동화된 검증은 수동 보안 검토를 줄이고, 중앙화된 분석은 컴플라이언스 보고를 간소화하며, 포괄적인 가시성을 통해 사전 예방적 위험 관리를 지원합니다.

소프트웨어 보안의 미래는 공급망 무결성을 선택 사항이 아닌 기본 요구 사항으로 처리하는 데 달려 있습니다. Trusted Artifact Signer 1.3과 Trusted Profile Analyzer 2.2와 같은 툴을 사용하는 조직은 처음부터 개발 및 배포 프로세스에 이러한 무결성을 구축하여 기술 발전에 따라 확장되는 향상된 보안 상태를 갖춘 기반을 구축할 수 있습니다.

단일 구성 요소가 전체 산업에 영향을 미칠 수 있는 시대에 통합 공급망 보안은 단순한 기술 요구 사항이 아닌 비즈니스 필수 사항입니다. 암호화 서명, 지속적인 검증, 심층 분석 기능의 결합은 점점 더 복잡해지는 기술 환경에서 보안 중심의 소프트웨어 제공을 위한 기반을 제공합니다.