소프트웨어 보안 솔루션 기업 시높시스(Synopsys)와 포네몬 인스티튜트(Ponemon Institute)가 공동으로 발표한 '소프트웨어 공급망 보안 위험 현황' 보고서에 따르면, 지난 1년간 전 세계 기업의 54%가 소프트웨어 공급망 공격을 경험한 것으로 나타났다.

그러나 대부분의 기업은 급증하는 위험에 대응하는 데 어려움을 겪고 있는 것으로 조사되었다. 특히 기업의 50%는 공격 대응에 한 달 이상이 소요되었으며, 20%는 이러한 공격을 탐지하고 대응하는 능력이 효과적이지 않다고 답했다.

이번 조사 결과는 또한 AI가 소프트웨어 개발 전 과정에서 널리 활용되고 있음을 보여준다. 보안 전문가의 52%가 개발 팀이 오픈AI Codex(50%), 챗GPT(45%), 깃허브 Copilot(43%) 등 AI 도구를 사용해 코드를 생성한다고 답했다. 그러나 AI 활용이 효율성을 높이는 반면, 보안 조치는 매우 미흡한 것으로 드러났다. 기업의 32%만이 AI 생성 코드에 대한 라이선스, 보안, 품질 위험을 평가하는 프로세스를 갖추고 있었다.

응답자들은 의사결정자들이 이러한 문제 완화에 소홀한 점을 우려했다. 기업 리더의 39%만이 소프트웨어 공급망 내 멀웨어 위험 감소에 전념하고 있다고 답했다. 솔라윈즈(SolarWinds)와 같은 공급망 침해 사고로 인해 소프트웨어 공급망 보안 투자가 늘었다는 응답이 45%였지만, 공급망 보안에 할당된 자원이 충분하다고 답한 비율은 38%에 그쳤다.

이 외에도 주목할 만한 조사 결과는 다음과 같다.

우선 SBOM 구현이 미흡하다는 것이다. 소프트웨어 물품 명세서(SBOM)는 안전한 소프트웨어 공급망 보장에 필수적이지만, 보안 전문가의 35%만이 SBOM을 생성하고 있다. 또한 공급업체가 요청한 SBOM을 제공하지 않을 경우 소프트웨어 사용을 즉시 중단한다는 응답은 40%에 불과했다. SBOM 생성 주요 이유로는 종속성 및 취약점 관리(50%), 산업 규제(39%), 고객 요구 사항(38%), 정부 요구 사항(38%) 등이 꼽혔다.

오픈 소스 취약점은 여전히 위험이 존재했다. 응답자의 65%가 오픈 소스 소프트웨어를 사용하지만, 공급망 내에서 이를 효과적으로 보호하고 있다는 응답은 47%에 그쳤다.

제이슨 슈미트(Jason Schmitt) 시높시스 소프트웨어 인테그리티 그룹 총괄 관리자는 "공급망 공격이 전 세계적으로 증가하고 있지만, 기존 소프트웨어 개발 프로세스와 보안 기준의 취약점은 여전하다."며 "특히 AI 생성 코드 증가와 함께 보안팀은 애플리케이션에 대한 가시성을 유지하고, 지적재산권, 보안 위협, 코드 품질을 지속적으로 평가해 위험을 낮춰야 한다."고 강조했다.

이번 조사는 안전한 소프트웨어 공급망 구축을 위해 노력 중이며 소프트웨어 공급망 보안 전략에 일정 부분 책임이 있는 북미(613명), 유럽·중동·아프리카(362명), 일본(303명) 지역 IT 및 보안 실무자 1278명을 대상으로 진행되었다.