SLSA(Supply-chain Levels for Software Artifacts)

개요

SLSA(Supply-chain Levels for Software Artifacts)는 소프트웨어 공급망(Supply Chain) 전반에 걸쳐 보안성과 무결성을 강화하기 위한 개방형 보안 프레임워크입니다. 구글(Google)이 주도하고 오픈소스 커뮤니티가 발전시키고 있는 이 모델은 최근 소프트웨어 공급망 공격이 증가함에 따라, 개발-빌드-배포 과정의 신뢰성을 확보하는 데 필수적인 보안 기준으로 각광받고 있습니다.

---

1. 개념 및 정의

SLSA는 개발자 코드부터 빌드 시스템, 패키지, 배포 환경까지 모든 소프트웨어 아티팩트(artifacts)가 어떻게 생성되고, 어떤 경로로 배포되는지를 추적 가능하고 검증 가능한 방식으로 관리하도록 설계되었습니다.

핵심 목표:

• 소프트웨어 아티팩트의 기원(traceability) 보장
• 개발 및 배포 체계의 무결성(integrity) 확보
• 공급망 전반의 위협 대응력 강화

---

2. 특징

특징	설명	비고
단계별 보안 기준	SLSA 1~4단계로 나뉘는 보안 레벨 제시	점진적 도입 가능
자동화 기반 검증	수동보다는 자동화된 빌드·검증 프로세스 요구	CI/CD 연계 필수
공급망 투명성 강화	코드 변경 이력 및 메타데이터 기반 감사	SBOM(Software Bill of Materials)과 연계 가능
아티팩트 출처 추적	누구, 언제, 어디서 빌드했는지 기록	provenance 정보 필수

SLSA는 보안을 개발 프로세스 전반에 내재화하는 것을 목표로 합니다.

---

3. SLSA 단계별 정의

단계(Level)	정의	요구사항 요약
SLSA 1	빌드 가능성과 provenance 보존	빌드 로그 기록, 기본 추적 가능
SLSA 2	자동화된 빌드 프로세스	CI/CD 기반 빌드, provenance 강화
SLSA 3	재현 가능한 빌드(reproducible build)	동일 입력 → 동일 결과 검증 가능
SLSA 4	고신뢰 빌드 환경과 완전한 검증	격리된 빌더, 정책 기반 검증 체계

조직은 보안 목표에 따라 적절한 SLSA 수준부터 시작할 수 있습니다.

---

4. 기술 요소 및 연계 도구

기술 요소	설명	예시 도구
CI/CD 시스템	자동화된 빌드 및 배포 체계	GitHub Actions, GitLab CI, Tekton
provenance 기록 시스템	아티팩트 생성 정보 저장소	in-toto, Grafeas, Sigstore
SBOM 생성기	아티팩트 구성 요소 문서화 도구	CycloneDX, SPDX
정책 엔진	배포 전 정책 기반 검증 수행	Open Policy Agent (OPA), Kyverno

SLSA는 오픈소스 및 클라우드 기반 개발 환경과의 상호 연동성이 매우 뛰어납니다.

---

5. 장점 및 기대 효과

이점	설명	기대 효과
공급망 위협 차단	악성 코드 주입 및 빌드 오염 방지	신뢰성 있는 배포 확보
감사 추적성 확보	누구/언제/무엇이 빌드되었는지 기록	규제 대응 및 사고 대응력 향상
DevSecOps 내재화	보안을 개발 파이프라인에 통합	개발 속도와 보안 동시 확보
국제 표준화 연계	ISO, NIST 등 보안 프레임워크와 호환	글로벌 보안 요구 대응력 강화

SLSA는 개발자의 ‘신뢰 가능한 코딩’ 문화를 조성하는 핵심 기반입니다.

---

6. 활용 사례 및 고려사항

조직	적용 사례	고려사항
Google	내부 전 제품에 SLSA 적용	내부 도구와의 통합 자동화 필요
OpenSSF	오픈소스 공급망 보안 강화	SBOM 표준과 연계 운영
국내 공공기관	클라우드 기반 개발에 SLSA 도입 검토 중	자체 빌드환경 보호체계 필요

적용 시 SLSA Level 1 → 2 → 3으로 단계적 접근이 현실적입니다.

---

7. 결론

SLSA는 현대 소프트웨어 개발 환경에서 필수적으로 요구되는 공급망 보안 기준으로, DevSecOps, CI/CD, 오픈소스 생태계와의 높은 연계성을 기반으로 빠르게 확산되고 있습니다. 아티팩트 중심의 무결성 확보, 신뢰 기반 배포, 자동화된 검증 체계를 도입하고자 하는 조직에게 SLSA는 가장 효과적이고 실현 가능한 보안 프레임워크입니다.