SLSA(Supply-chain Levels for Software Artifacts)
개요
SLSA(Supply-chain Levels for Software Artifacts)는 소프트웨어 공급망(Supply Chain) 전반에 걸쳐 보안성과 무결성을 강화하기 위한 개방형 보안 프레임워크입니다. 구글(Google)이 주도하고 오픈소스 커뮤니티가 발전시키고 있는 이 모델은 최근 소프트웨어 공급망 공격이 증가함에 따라, 개발-빌드-배포 과정의 신뢰성을 확보하는 데 필수적인 보안 기준으로 각광받고 있습니다.
1. 개념 및 정의
SLSA는 개발자 코드부터 빌드 시스템, 패키지, 배포 환경까지 모든 소프트웨어 아티팩트(artifacts)가 어떻게 생성되고, 어떤 경로로 배포되는지를 추적 가능하고 검증 가능한 방식으로 관리하도록 설계되었습니다.
핵심 목표:
- 소프트웨어 아티팩트의 기원(traceability) 보장
- 개발 및 배포 체계의 무결성(integrity) 확보
- 공급망 전반의 위협 대응력 강화
2. 특징
| 특징 | 설명 | 비고 |
| 단계별 보안 기준 | SLSA 1~4단계로 나뉘는 보안 레벨 제시 | 점진적 도입 가능 |
| 자동화 기반 검증 | 수동보다는 자동화된 빌드·검증 프로세스 요구 | CI/CD 연계 필수 |
| 공급망 투명성 강화 | 코드 변경 이력 및 메타데이터 기반 감사 | SBOM(Software Bill of Materials)과 연계 가능 |
| 아티팩트 출처 추적 | 누구, 언제, 어디서 빌드했는지 기록 | provenance 정보 필수 |
SLSA는 보안을 개발 프로세스 전반에 내재화하는 것을 목표로 합니다.
3. SLSA 단계별 정의
| 단계(Level) | 정의 | 요구사항 요약 |
| SLSA 1 | 빌드 가능성과 provenance 보존 | 빌드 로그 기록, 기본 추적 가능 |
| SLSA 2 | 자동화된 빌드 프로세스 | CI/CD 기반 빌드, provenance 강화 |
| SLSA 3 | 재현 가능한 빌드(reproducible build) | 동일 입력 → 동일 결과 검증 가능 |
| SLSA 4 | 고신뢰 빌드 환경과 완전한 검증 | 격리된 빌더, 정책 기반 검증 체계 |
조직은 보안 목표에 따라 적절한 SLSA 수준부터 시작할 수 있습니다.
4. 기술 요소 및 연계 도구
| 기술 요소 | 설명 | 예시 도구 |
| CI/CD 시스템 | 자동화된 빌드 및 배포 체계 | GitHub Actions, GitLab CI, Tekton |
| provenance 기록 시스템 | 아티팩트 생성 정보 저장소 | in-toto, Grafeas, Sigstore |
| SBOM 생성기 | 아티팩트 구성 요소 문서화 도구 | CycloneDX, SPDX |
| 정책 엔진 | 배포 전 정책 기반 검증 수행 | Open Policy Agent (OPA), Kyverno |
SLSA는 오픈소스 및 클라우드 기반 개발 환경과의 상호 연동성이 매우 뛰어납니다.
5. 장점 및 기대 효과
| 이점 | 설명 | 기대 효과 |
| 공급망 위협 차단 | 악성 코드 주입 및 빌드 오염 방지 | 신뢰성 있는 배포 확보 |
| 감사 추적성 확보 | 누구/언제/무엇이 빌드되었는지 기록 | 규제 대응 및 사고 대응력 향상 |
| DevSecOps 내재화 | 보안을 개발 파이프라인에 통합 | 개발 속도와 보안 동시 확보 |
| 국제 표준화 연계 | ISO, NIST 등 보안 프레임워크와 호환 | 글로벌 보안 요구 대응력 강화 |
SLSA는 개발자의 ‘신뢰 가능한 코딩’ 문화를 조성하는 핵심 기반입니다.
6. 활용 사례 및 고려사항
| 조직 | 적용 사례 | 고려사항 |
| 내부 전 제품에 SLSA 적용 | 내부 도구와의 통합 자동화 필요 | |
| OpenSSF | 오픈소스 공급망 보안 강화 | SBOM 표준과 연계 운영 |
| 국내 공공기관 | 클라우드 기반 개발에 SLSA 도입 검토 중 | 자체 빌드환경 보호체계 필요 |
적용 시 SLSA Level 1 → 2 → 3으로 단계적 접근이 현실적입니다.
7. 결론
SLSA는 현대 소프트웨어 개발 환경에서 필수적으로 요구되는 공급망 보안 기준으로, DevSecOps, CI/CD, 오픈소스 생태계와의 높은 연계성을 기반으로 빠르게 확산되고 있습니다. 아티팩트 중심의 무결성 확보, 신뢰 기반 배포, 자동화된 검증 체계를 도입하고자 하는 조직에게 SLSA는 가장 효과적이고 실현 가능한 보안 프레임워크입니다.