• ZDNet USA
  • ZDNet China
  • ZDNet Japan
  • English
  • 지디넷 웨비나
뉴스
  • 최신뉴스
  • 방송/통신
  • 컴퓨팅
  • 홈&모바일
  • 인터넷
  • 반도체/디스플레이
  • 카테크
  • 헬스케어
  • 게임
  • 중기&스타트업
  • 유통
  • 금융
  • 과학
  • 디지털경제
  • 취업/HR/교육
  • 인터뷰
  • 인사•부음
  • 글로벌뉴스
인공지능
배터리
양자컴퓨팅
컨퍼런스
칼럼•연재
포토•영상

ZDNet 검색 페이지

'공급망 보안'통합검색 결과 입니다. (13건)

  • 태그
    • 제목
    • 제목 + 내용
    • 작성자
    • 태그
  • 기간
    • 3개월
    • 1년
    • 1년 이전

[보안리더] 이만희 교수 "공급망 보안 대중화 앞장···매일 200명에게 관련 소식 전해"

공급망 보안은 제 인생에서 가장 중요한 일이 됐어요. 2021년부터 한국정보보호학회 공급망보안연구회장을 맡고 있습니다. 연구회를 만들고 나서 회원들에게 뭐 해드릴게 없을까 하다 공급망 보안 관련 소식을 전해 드리면 좋겠다 싶어 시작했습니다. 지금은 공급망 보안 뉴스 외에도 세계에서 일어나는 주요 보안 뉴스도 함께 알려드리고 있습니다. 소식을 주고받는 사람이 200명이 넘어요. 연구원, 정책 입안자, 산업계 등 다양합니다. 한국에 공급망 보안 문제가 생기면 바로 뭉칠 수 있어요. 이렇게 공급망 보안만 생각하다 보니 회사까지 차리게 됐습니다. 공급망 보안 관련 연구를 하는 교수이면서 기업 대표인 사람은 고대 이희조 교수님 다음으로 한국에서 제가 두 번째인 것 같습니다. 이만희 한남대 컴퓨터공학과 교수는 최근 지디넷코리아와의 인터뷰에서 이같이 밝혔다. 이 교수가 고급망 보안에 관심을 갖게 된건 8년 전 도널드 트럼프 미국 대통령 때문이다. "당시 트럼프 대통령이 중국에서 수입한 서버 안에 스파이 칩'이 들어었다'고 주장하며 중국 제품을 밀어냈어요. '하드웨어 공급망에서 출발한 문제가 소프트웨어로 퍼지겠구나'라고 생각했죠. 이후 공급망 보안에 관심을 갖게 됐습니다." 소프트웨어를 빠르게 개발하기 위한 오픈 소스가 퍼지면서 공급망 보안 위협도 두드러졌다고 이 교수는 전했다. 악성 코드에 감염된 오픈 소스를 쓰면 치명적이다. 그는 “소프트웨어 개발자는 보통 20%를 직접 개발하고 80%는 오픈소스나 외부 라이브러리를 가져다 쓴다"며 “자동차 회사가 차에서 가장 중요한 엔진을 직접 만들지만 타이어는 타이어 회사에서, 유리는 유리 회사서 사서 조립하는 것과 마찬가지”라고 빗댔다. 이어 “그런데 자동차 회사는 어떤 부품을 가져다 썼는지 명확하게 인지하고 관리를 하지만, 소프트웨어 개발자는 어떤 오픈 소스를 가져다 썼는지 모르는 경우가 너무 많다”며 현재 소프트웨어 개발시 출처 관리의 관행 문제점을 지적했다. 그는 “보안 분야에서 처음으로 국정원과 과기정통부가 공동 지침을 지난해 5월 발표했고 지금은 국내 공급망보안 제도화를 목표로 공급망 보안 로드맵을 준비중”라고 전했다. 그는 한국이 정보기술(IT) 강국인 만큼 IT 보안이 강해야 한다는 입장이다. IT 산업 규모가 클수록 사이버 공격을 많이 당해서다. 이 교수는 “완전히 소프트웨어 세상이 됐다”며 “보안 취약점 하나로 우리 사회가 무너질 수 있다”고 지적했다. 그러면서 “안전 장치를 구비해야 한다”며 “고속도로에서 더 빠르게 갈 수 있는데도 안전을 위해서라면 돈을 들여 카메라와 과속 측정기를 설치하지 않느냐”고 되물었다. 이 교수는 공급망 보안을 연구하는 교수 중 회사까지 차린 사람은 국내에서 두 번째 일 것 같다고 자신을 소개했다. 그는 “제자가 '블록체인 기반 소프트웨어 보증 시스템'을 주제로 박사 논문을 썼다. 2021년 11월 이 제자와 함께 공급망 보안 전문 회사인 '소프트버스'를 공동 창업했다”고 들려줬다. 소프트버스는 '소프트웨어(software)'와 현실과 가상을 이어주는 '메타버스(metaverse)'를 합한 말이다. 이 기업은 소프트웨어 자산을 관리하도록 돕는 '서플라이 스캔(supply scan)'을 올해 선보이기로 했다. 우리 회사에 컴퓨터가 몇 대, 의자가 몇 개 있는지 기록해 관리하듯 우리 회사 컴퓨터 몇 대에 무슨 소프트웨어가 있는지, 보안 취약점은 있는지, 얼마나 위험한지 등을 자동으로 파악해 사고 나기 전 막아 주는 것을 목표로 하고 있다. 이 서비스를 도입하면 소프트웨어 도입으로 인해 자연적으로 발생하는 공급망 위협을 크게 줄일 수 있을 것으로 기대했다. 아래는 이만희 교수 주요 경력 경북대 컴퓨터공학과 학사 경북대 컴퓨터공학과 석사 미국 텍사스A&M대 컴퓨터공학과 박사 1996.12~2003.7 한국과학기술정보연구원 연구원 2008.9~2009.9 시스코시스템스 하드웨어엔지니어 2010.2~2012.2 국가보안기술연구소 선임연구원 2012.3~현재 한남대 컴퓨터공학과 교수 한국정보보호학회 상임부회장, 충청지부장, 공급망보안연구회 회장, 정보보호학회지 편집위원 과학기술정통부 제로트러스트&공급망보안 포럼 공급망보안 기술/표준 분과장 국가정보원 암호검증위원회 위원, 정보보안 중장기계획 민간자문단 IT 보안인증사무국 인증위원회 위원 국가보안기술연구소 미래기술보안포럼 위원, 청렴시민감사관 국가정보원, 과기정통부 합동 소프트웨어공급망보안 포럼 워킹그룹장

2025.05.04 11:18유혜진

스패로우, SBOM도구에 AI 입혔다…코드 자동 생성

애플리케이션 보안 기업 스패로우(대표 장일수)가 소프트웨어(SW) 공급망 보안에 필요한 소프트웨어 자재 명세서(SBOM·Software Bill of Materials)에 인공지능(AI) 기능을 더했다고 밝혔다. 장일수 스패로우 대표는 22일 서울 여의도 페어몬트앰버서더호텔에서 열린 고객 초청 사업 설명회 '파수 디지털 인텔리전스 심포지움(FDI)'에서 이같이 발표했다. 스패로우는 파수 자회사다. 장 대표는 “AI 기능을 가진 제품을 곧 출시하겠다”며 “코드를 자동으로 만들고, 정탐율을 최고로 끌어올리고, 어떤 취약점부터 우선 조치할지 우선순위 매기고, 취약점을 설명하는 보고서를 자동으로 쓰는 기능을 갖췄다”고 말했다. 장 대표는 “SBOM을 '생성-보강-검증-공유-검토'하는 단계로 관리해야 한다”며 “사람이 하나하나 손보려면 비효율적이라 도구가 필요하다”고 설명했다. 그러면서 '스패로우 엔터프라이즈'를 소개했다. 장 대표는 “SBOM을 만들어 등록하고 공유하면서 관리해야 한다”며 “스패로우는 한 번 만들고 끝나는 게 아니라 지속적으로 상호 검토해 새로운 취약점이 나오면 운영자와 개발자에게 알려 빠르게 조치하도록 돕는다”고 강조했다. 그는 “침해 사고가 아예 안 일어날 수는 없다”며 “어제 취약점이 아니었던 게 오늘은 취약점이 될 수 있으니 계속 관리해야 한다”고 주장했다. 또 “스패로우는 데이터에 기반해 알맞은 수정 방안을 제시한다”며 “문제 유형을 자동으로 나누고, 사람 실수와 반복 작업을 최소화하도록 지원한다”고 했다. 장 대표는 효율적으로 투자하는 법도 귀띔했다. 그는 “생성하려면 대량언어모델(LLM)을 써야 한다”면서도 “분류하는 데에는 기존 머신러닝과 딥러닝으로 충분해 보안과 비용 문제를 해결할 수 있다”고 언급했다. 이어 “모든 이해관계자가 참여해 능동적이고 적극적으로 대응하는 게 공급망 보안”이라며 “한 개인이나 기업 문제가 아니다”라고 덧붙였다.

2025.04.23 11:55유혜진

사진으로 본 '넷섹 2025'···AI보안 등 큰 관심

'제31회 정보통신망 정보보호 학술대회(NetSec-KR)'가 17일 서울 삼성동 코엑스에서 열렸다. 넷섹은 한국정보보호학회가 초고속 정보통신망 구축 사업이 시작된 1995년부터 개최한 국내 최대 정보보호 학술대회다. 넷섹은 18일까지 이틀 동안 이어진다. 학회는 산·학·연 관계자 1천300명이 넘게 모인다고 전했다. '넷섹(NetSec-KR)' 이모저모를 사진으로 살펴봤다. ◆ 영예의 수상자들

2025.04.17 17:58유혜진

SBOM 보안 규제·공급망 과제당 3.75억 지원

소프트웨어 자재 명세서(SBOM·Software Bill of Materials)를 쓰려는 기업은 작성 및 취약점 개선하는 데 지원받을 수 있다. 한국인터넷진흥원(KISA)은 31일 SBOM 지원 사업을 한다고 밝혔다. 디지털 상품을 개발하는 기업 가운데 해외 규제 대응 6개 과제, 공급망 위협 대응 2개 과제에 과제당 3억7천500만원까지 준다. SBOM 쓰기를 돕고, SBOM 쓰고도 남은 위협을 조치할 수 있는 설비를 구축하도록 돕는다. 소프트웨어 구성 분석(SCA) 도구와 서버·데이터베이스(DB)를 갖추고 운영하는 기술 등도 포함한다. 참여하려는 기업은 다음 달 21일까지 KISA 전자계약시스템에서 접수하면 된다. 이동화 KISA 공급망안전정책팀장은 “상품에 숨은 위협을 출시 전 SBOM으로 알아채 예방할 수 있다”며 “출시하고도 새로 생기는 위협을 추적해 빠르게 관리할 수 있다”고 말했다. 공급망(Supply chain)이란 설계·개발·유통·판매·이용·개선·폐기 등 모든 단계를 포괄하는 개념이다. 공급망이 디지털로 전환되면서 해킹을 비롯한 보안 위협이 커졌다. 이 팀장은 “2020년 12월 미국에서 정보기술(IT) 관리 소프트웨어 업체 솔라윈즈가 해킹당해 소프트웨어 배포 시스템에 악성 코드가 설치됐다”며 “고객 1만8천명이 총 350만 달러(약 40억원) 피해를 봤다”고 전했다. 이후 미국은 개발·공급 기업이 소프트웨어를 안전하게 개발했는지 스스로 증명해 최고경영자(CEO)가 서명한 결과를 사이버보안·인프라보안국(CISA)에 내도록 했다. 지난해 9월에는 국가 안보 위험 규칙을 제정했다. 중국·러시아와 관련된 자율주행 시스템을 탑재한 자동차를 미국에서 수입하거나 팔지 못한다.

2025.03.31 12:00유혜진

AI·클라우드·공급망 등…삼성SDS, 2025년 5대 사이버 보안 위협 제시

삼성SDS가 지난해 국내외에서 발생한 사이버 보안 이슈를 분석해 2025년 주의해야 할 5대 사이버 보안 위협을 18일 발표했다. 2025년 5대 사이버 보안 위협'에는 ▲AI 악용 피싱에 대비해야… 'AI 보안 위협'▲장기 방치 자격 증명 '클라우드 보안 위협' ▲이중갈취전략으로 진화 중인 '랜섬웨어 공격' ▲오픈소스 악성코드 유입 'SW 공급망 보안 위협' ▲초연결사회의 독, OT/IoT 보안 위협이 선정됐다. 삼성SDS는 글로벌 보안 관제 센터 운영 경험을 토대로 제조·금융·물류 분야 기업 및 공공·국방 부문의 보안 전문가 400여 명을 대상으로 의견을 청취했다. 보안 위협에 대한 해결책도 함께 제안했다. 올해는 생성형 AI를 본격적으로 활용하는 기업이 늘고 있어 기업 내 보안 위협도 증가하고 있다. AI를 악용한 피싱 공격이나 악성코드 피해에 보다 정확하고 신속하게 대응하기 위해 AI 기반의 위협 탐지 및 분석, 보호 시스템 구축이 필요하다. 기업도 AI 발전 속도에 맞춰 보안 위협에 '지능형 보안 관제 시스템'으로 선제 대응하는 등의 지속적 진화가 요구된다. 팬데믹 이후 기업들은 생성형 AI, 데이터 분석 등 새로운 기반 기술과 서비스를 도입하기 위해 점점 더 클라우드 인프라를 활용하는 추세다. 하지만 잘못된 클라우드 구성 변경, 장기 방치한 '자격 증명' 노출, 기존 시스템 버전의 보안 설정 등은 보안 사고로 이어질 수 있으므로 '클라우드 환경에 맞는 보안 플랫폼'을 도입해 이를 미연에 방지해야 한다. 자격 증명은 ID와 암호, 인증서 등 자신의 신원을 확인하기 위해 제출하는 정보나 증명서를 의미한다. 랜섬웨어는 최근 데이터 암호화와 함께 정보 탈취 후 공개 협박을 병행하는 이중 갈취 전략으로 진화해 그 피해가 커지고 있다. 이로 인해 중요 데이터와 민감 정보 등을 겨냥해 서비스형 랜섬웨어(RaaS) 등을 통한 랜섬웨어 공격으로 금전적 손실과 기업 이미지 하락이 우려된다. 기업은 외부 접속 및 계정 관리 강화, 주기적 데이터 보호와 관리를 통해 랜섬웨어의 위험을 예방해야 한다. RaaS는 프로그래밍 전문지식 없이 비용만 지급하면 공격을 할 수 있도록 서비스 형태로 제공되는 랜섬웨어다. 최근 기업들은 내부자원 뿐만 아니라 오픈소스 등 외부 자원을 활용해 SW개발과 운영을 하고 있다. 그러나 이 경우에 악성코드 유입이 쉬워져 보안 위협도 함께 증가할 수 있다. SW 업데이트를 통해서도 악성코드가 유입될 수 있다. 기업은 SW 및 IT 환경 전반에 대한 감사와 S-BOM 준비, 위험 관리 체계에 대한 능동적 대응 계획을 세워야 한다. S-BOM은 SW에 어떤 요소가 포함되었고 누가 만들었는 지에 대한 정보를 포함하는 구성 요소 목록과 상호 의존도 등 세부 정보를 포함하는 명세서다. 인터넷에 연결된 생산 시설과 관련 시스템(OT), 컴퓨팅 장치와 기기, 사물 및 웨어러블 기기간 상호 연결 환경(IoT)에 대한 보안 위협도 커지고 있다. 특히 업데이트가 되지 않은 OT/IoT 장치는 해커의 손쉬운 공격 목표가 되며, 연결된 네트워크 전체를 대상으로 한 침해 사고로 확대될 수 있다. 이에 대응하기 위해 기업은 강력한 인증 절차와 정기적 보안 업데이트 등의 기본적 원칙을 준수해야 한다. 삼성SDS 장용민 보안사업담당(상무)은 “AI 기술을 활용한 보안 위협은 이미 지능적이고 교묘해지고 있으며 전사적 관점의 위기 관리 전략이 필요하다”며 “이에 대응하기 위해 기업은 ▲AI 기반 지능형 보안 솔루션 도입 ▲자체 환경에 맞는 클라우드 플랫폼 설정 ▲기업 정보 시스템 접근 강화 ▲파트너 IT 및 보안 체계 관리 ▲강력한 인증 및 정기적 보안 업데이트 등 조직 차원의 대응부터 파트너 대상의 IT 환경 및 보안 체계 관리까지 총괄 개념으로 접근해야 한다”고 강조했다.

2025.02.18 14:25남혁우

새해도 AI 사이버 위협 확대…보안 중요성 커져

새해에도 인공지능(AI) 기반 사이버 위협과 보안 기술이 한층 확대될 전망이다. 6일 시큐아이가 발표한 '2025년 주목해야 할 5대 보안 트렌드' 보고서에 따르면 AI 등 신기술 기반 사이버 위협이 새해부터 활성화할 것이란 예측이 나왔다. 이에 보고서는 새해 5대 보안 트렌드로 ▲AI 시대 양날의 검 ▲진화하는 융복합 사이버 공격 ▲인공지능전환(AX) 시대 클라우드 보편화 ▲공급망 보안을 위한 혁신적 접근 ▲국내 사이버 보안 프레임워크 변화를 꼽았다. AI 기반 사이버 위협 확대…AX 시대 클라우드 보편화 우선 시큐아이는 AI기반 사이버 위협과 보안 기술 확대를 예상한다고 밝혔다. 생성형 AI와 거대언어모델(LLM) 기술 활용도가 높아지며 AI 기술은 사이버 공격에도 지속적으로 활용될 것이란 전망이다. 이를 방어하기 위한 보안 기술 전반에 폭 넓게 활용될 예정이다. 공격자는 영상·음성 변조를 통해 허위 콘텐츠를 제작하는 딥페이크 기술을 활용해 사회적 혼란을 초래하고 이를 공격에 지속적으로 악용할 가능성이 높다는 평가가 이어지고 있다. 네트워크 보안 측면에서는 네트워크 취약점을 분석하고 공격 타이밍과 강도를 최적화하는 디도스 공격에서 AI를 활용해 보안 위협을 더욱 고도화할 것으로 예상된다. 보고서는 보안 기업이 AI 기술을 새로운 보안 위협 대응의 핵심 도구로 활용할 것으로 전망했다. AI는 방대한 데이터를 신속하게 분석해 인간이 놓치기 쉬운 취약점을 탐지하고, 기존에 알려지지 않던 공격 패턴을 학습해 알려지지 않은 위협을 방어할 수 있을 전망이다. AX 시대를 맞이해 복잡한 시뮬레이션과 대규모 데이터 처리를 위해 클라우드 활용은 보편화될 것이란 전망도 나왔다. 퍼블릭 클라우드와 프라이빗 클라우드를 동시에 사용하고, 다양한 퍼블릭 클라우드 공급자를 이용하는 하이브리드 멀티클라우드 환경은 플랫폼별 특성을 활용해 가용성, 비용 효율성, 성능을 최적화할 수 있다는 평가 때문이다. 보고서는 기존 IT 인프라에서 클라우드로의 이동은 클라우드 내 컨테이너, 마이크로서비스 아키텍처, 서버리스 아키텍처 등 무분별한 확장을 겪을 것으로 전망했다. 이에 공격 표면은 지속적으로 확대될 것이다. 클라우드 복잡성으로 섀도우 IT 환경이 발생할 것이며 이로 인해 데이터 유출 등 침해사고의 위험이 증가할 수 있다고 예측했다. 시큐아이는 이런 위협에 대응하기 위해 멀티 클라우드 환경 전반에 대한 위협과 취약점에 대해 우선 순위를 지정하고 관리해야 한다고 주장했다. 사고 발생 시, 체계화 된 플레이북을 지정해 피해를 최소화해야 한다고 덧붙였다. 망분리 규제 완화 시작…"지금은 제로 트러스트 원년" 보고서는 앞으로 망분리 규제 완화와 제로 트러스트 모델 강화가 보안 중심축을 이룰 것으로 예측했다. 앞서 정부는 망분리 규제를 완화하고 다층보안체계(MLS)를 도입해 사회 전반에 AI와 클라우드를 적극적으로 활용할 수 있도록 장려할 계획이라고 밝힌 바 있다. MLS는 업무 시스템을 중요도에 따라 기밀(S), 민감(S), 공개(O) 등급으로 분류하고, 이에 맞춰 차별화된 보안을 제공하는 방식이다. 현재 MLS 용어는 N²SF로 변경됐다. N²SF는 중요도 높은 시스템은 강화된 보안을 적용하고, 공유가 가능한 데이터는 효율적인 업무 환경을 위해 자유롭게 활용할 수 있도록 하는 것이 핵심이다. 등급별 보안 대책을 충족하는 시스템은 인터넷 망에 연결되며, 외부 AI와 클라우드 서비스와 연동이 가능하다. 이에 보고서는 망분리 규제 완화가 금융권을 포함한 여러 산업 분야에서 보안 대책의 변화를 초래할 것으로 봤다. 기술 활용의 효율성을 높이면서도 보안 수준을 강화하는 방향으로 발전할 것이다. 제로 트러스트 모델의 도입이 동시에 가속화 될 것이란 전망도 나왔다. 망분리 규제 완화로 인해 내부와 외부 간의 보안의 경계가 확장하면서 보안 위협의 종류와 공격 표면도 넓어져서다. 시큐아이는 차세대 방화벽 '블루맥스 NGF'와 '블루맥스 IPS'에 머신러닝 기능을 탑재해 이에 대응하고 있다. 해당 솔루션은 도메인네임시스템(DNS) 보안 강화와 악성 파일 탐지에 활용된다. 또 시큐아이 위협 분석 센터(STIC) 내 머신러닝 기능과 연계돼 정기적인 스마트 업데이트를 거쳐 최신화 된 위협 정보를 반영하고 있다. 시큐아이는 자체 역량을 활용한 위협 분석 및 대응 플랫폼을 이미 개발 완료한 상태다. 이를 올해부터 고객 보안 업무에 적용할 계획이다. "융복합 사이버 공격 늘 것…공급망 보안 필수" 랜섬웨어와 디도스 하이브리드 공격이 한층 진화할 것이란 전망도 이어졌다. 특히 핵티비스트와 같은 적대 세력 활동이 활발해지면서 금전적 목적이 주였던 공급망 공격 양상이 변화할 것이란 예상도 나왔다. 보고서는 사이버 위협에 대한 진입 장벽이 한층 더 낮아짐과 동시에 공격자들이 디도스 공격으로 서비스를 마비시키고, 그 후 랜섬웨어를 침투시키는 하이브리드 공격을 활용할 가능성이 늘어날 것으로 봤다. 이런 공격 방식은 데이터 암호화, 금전 요구, 추가적인 디도스 공격에 대한 협박 등과 결합해 2중, 3중의 피해를 초래하고 피해 복구를 더욱 어렵게 만들 수 있다. 피해를 예방하고 최소화하기 위해서 보안 장비에 대한 정기적인 취약점 점검 필요성이 늘어날 전망이다. 보고서는 국가 주도 공급망 공격이 금전적 목적뿐만 아니라 정치적 목표를 동시에 달성하는 전략적 공격 유형으로 자리잡을 가능성이 높다고 주장했다. 공급망 공격은 소프트웨어(SW)나 하드웨어(HW)의 개발·배포 과정에 악성코드를 삽입해 피해가 연쇄적으로 확산하는 방식이다. 이런 위험을 사전에 방지하기 위해서는 제품을 개발하고 설계할 때 보안을 내재화하는 것이 중요하다는 평가가 이어지고 있다. 기업과 조직은 보안을 초기 단계부터 핵심 요소로 삼아 시스템과 서비스를 구축해 사이버 위협에 대한 대응력을 강화해야 한다는 설명이다. 정삼용 시큐아이 대표는 "AI와 결합한 보안 위협은 점점 더 정교하게 발전할 것"이라며 "급변하는 보안 환경 위협을 사전에 차단할 수 있는 차세대 기술과 솔루션을 지속적으로 선보일 것"이라고 강조했다.

2025.01.06 17:18김미정

"HW·SW 위협 대응"…쿤텍, 공급망 보안 솔루션 '이지스' 고도화

쿤텍이 통합 보안 솔루션 '이지스' 기능을 고도화해 하드웨어(HW)·소프트웨어(SW) 전반에 걸친 보안 위협 대응 체계를 강화했다. 쿤텍은 과학기술정보통신부와 정보통신기획평가원의 지원을 받아 이뤄진 정보보호 핵심원천 기술개발사업 '시스템 디바이스의 HW 공급망 위협 대응 핵심기술 개발' 과제를 통해 이런 성과를 냈다고 11일 밝혔다. 이지스는 이번 고도화를 통해 사이버 보안 취약점 데이터베이스를 자체 데이터베이스(DB)에 마이그레이션하고 동기화 기술을 도입해 원데이 취약점을 자동으로 식별·조치할 수 있는 기능을 구현했다. 이 외에도 취약점을 긴급, 높음, 중간, 낮음 등으로 구분해 대시보드로 사용자가 손쉽게 분석 결과를 확인할 수 있도록 지원한다. 쿤텍은 5G 코어 보안 취약점 점검 기능도 이지스에 추가했다. 이 기능은 상용 5G 코어 네트워크기능가상화(NFV) 바이너리 16종에 대한 보안 점검과 조치 가이드를 제공한다. 이를 통해 하드웨어 공급망 관리 범위 확장을 도왔다. 이번 기술 개발은 하드웨어 보안의 중요성을 강조하면서 SW와 HW를 모두 포함한 구성관리 보안물품(CBOM) 관리 체계를 강화했다는 점에서 의미가 크다는 평가를 받고 있다. 특히 직접회로(IC)칩, 인쇄회로기판(PCB) 보드, 펌웨어 등 하드웨어 취약점 분석 기술이 포함되며 기존의 공급망 보안 범위를 크게 확대했다는 설명이다. 한국전자통신연구원(ETRI) 이상수 책임연구원은 "하드웨어 공급망 보안은 소프트웨어만큼 중요하지만 기술력과 인식이 부족한 상태였다"며 "이번 연구는 HW·SW 통합 위협 대응 체계 구축에 기여할 것"이라고 말했다.

2024.12.11 16:20김미정

잇따른 글로벌 IT '먹통'에 SW 공급망 보안 중요성 ↑…내년에 주목할 솔루션은?

올해 크고 작은 개인정보보호 이슈가 우후죽순 쏟아진 가운데 미국 크라우드스트라이크의 전산 마비 등 대형 사건들로 인해 소프트웨어(SW) 공급망 보안 중요성이 더 주목 받게 된 것으로 나타났다. 내년에는 악성코드 및 보안 취약점을 선제적으로 차단하고 대응할 수 있는 솔루션이 주된 관심사로 떠오를 것이란 전망도 나온다. 4일 소만사가 발표한 '2024년 발생한 주요 개인정보보호 7대 이슈'로는 ▲크라우드스트라이크 발(發) 전산마비 사태 ▲금융권 망분리 규제 개선안 발표 ▲공공기관 다층보안체계(MLS) 전환 발표 ▲페이스북(메타) 216억원 과징금 처벌 ▲개인정보유출 과징금 전체매출 3% 부과 처분 ▲개인정보의 안전성 확보조치 기준 안내서 발간 ▲SBOM(소프트웨어 자재명세서)과 오픈소스 취약점 점검 투자 강화 등이 꼽혔다. 이 중 올 한 해 가장 크게 이슈가 된 것은 미국 보안기업 크라우드스트라이크에서 시작된 전 세계 전산마비 사태다. 이는 올해 소프트웨어 공급망 전산 사고의 대표적인 사례로, 크라우드스트라이크의 '팰컨 센서' 업데이트 버전이 MS 클라우드 서비스 '애저(Azure)'와 충돌하면서 발생했다. 이로 인해 전 세계 항공, 금융, 행정, 의료 방송 등 2만9천 곳의 업무가 마비됐으며 피해 규모는 최소 10억 달러(한화 약 1조4천억원)로 추산됐다. 이후 크라우드스트라이크는 지난 9월 미국 의회 청문회에 소환돼 공식 사과했다. 델타항공은 크라우드스트라이크를 상대로 올해 10월 5억 달러(한화 약 6천500억원) 규모의 손해배상 소송을 제기했다. 금융권 망분리 개선안 발표도 많은 이들의 관심을 끌었다. 금융당국은 최근 금융기관의 생성형 인공지능(AI) 활용과 서비스형 소프트웨어(SaaS) 이용 범위 확대를 발표한 상태다. 이에 따라 금융기관은 안전한 활용을 실현할 수 있도록 접속 단말의 보안을 강화해야 한다. 업무상 허용된 단말로만 해당 서비스를 활용할 수 있도록 통제해야 하며 단말과 생성형 AI, SaaS 서비스 간 감사로그를 확보해야 한다. 또 단말과 SaaS 서비스 간 개인정보 및 신용정보 전송 등 이상행위를 통제해 조직 생산성 향상과 IT 신기술 부작용을 최소화 할 수 있어야 한다. 공공기관 대상 다층보안체계(MLS) 망분리 개선 로드맵도 주요 이슈로 급부상했다. 정부는 최근 사이버 안보정책방향을 공개했는데, 중요도에 따라 개인정보를 차등적으로 통제하는 다층보안체계 로드맵과 인터넷 단말에 생성형 AI, 업무용 소프트웨어, 인터넷 사용을 점진적으로 확대하는 계획을 발표했다. 해당 계획은 2025년 초까지 시범사업 수행 후 확대 적용될 예정이다. 페이스북을 운영하는 메타가 개인정보보호위원회로부터 216억원의 과징금을 부과 받은 것도 업계의 이목을 끌었다. 개인정보위는 페이스북이 국내 98만 명 이용자를 대상으로 종교, 정치, 동성과의 결혼여부 등 민감정보를 수집한 데다, 수집된 정보를 4천여 광고주를 통해 동성애, 트랜스젠더, 북한이탈주민 등 민감한 주제로 타깃광고에 이용했다는 점을 이유로 이 같이 조치했다. 이번 과징금 부과는 2020년 67억원 과징금 부과 이후 다섯 번째 제재로, 개인정보보호법 위반으로 누적 합산된 페이스북의 과징금은 현재 약 729억원이다. 개인정보 유출 과징금을 전체 매출에서 3% 부과하는 처분이 시작되면서 많은 기업들이 긴장감을 드러내기도 했다. 특히 220만 명 개인정보 유출사고가 발생한 골프 관련 기업인 G사에 과징금 75억원이 부과돼 크게 주목 받기도 했다. 지난 2023년 9월 개인정보보호법에서 개정된 '전체매출 3% 과징금 부과' 규정 첫 적용 사례였기 때문이다. 기존법령에 따라 개인정보가 유출됐어도 안전성 확보에 필요한 조치를 다 한 경우에는 처벌을 면할 수 있다. 그러나 G사는 개인정보 유출통제 기술적 보호조치 미흡, 주민등록번호처리 및 파기의무를 위반해 이 같은 과징금을 처벌 받았다. 지난 2023년 9월 개정 이후 변경 내용을 반영한 '개인정보의 안전성 확보조치 기준 안내서'도 올해 발간돼 기업들에게 많은 도움이 됐다. 이번 안내서에서는 FTP, 백업서버 등 공용 파일처리시스템을 개인정보 처리시스템으로 분류했다. 또 클라우드 컴퓨팅 서비스 기반의 개인정보 처리시스템도 기술적 보호조치 대상임을 명시했다. 크리덴셜 스터핑 공격을 이용한 홈페이지 해킹사고를 개인정보 유출사고 범위에 포함해 개인정보보호법의 적용을 받는 기업과 기관은 해당 규정을 준수할 수 있도록 기술적 보호조치를 취하도록 안내한 것도 특징이다. 소프트웨어 자재명세서(SBOM)와 오픈소스 취약점 점검을 위해 투자 활동이 강화된 것도 올해 주요 이슈였다. 이는 지난 2월 리눅스(Linux) XZ 유틸(Utils) 백도어를 시작으로 7월 크라우드스트라이크, 11월 세일즈포스 전산마비 등 소프트웨어 공급망 관련 전산사고가 지속적으로 발생한 것이 큰 영향을 줬다. 이에 과기정통부는 'SW 공급망 보안 가이드라인'을, 금융보안원은 '금융회사대상 SW공급망 자율점검 체크리스트'를 공개하며 공급망 보안에 집중하고 있다. 소만사 관계자는 "바이든 정부에 이어 트럼프 정부도 공급망 보안 위험관리 대표방안인 SBOM을 강화할 것으로 전망된다"며 "국내 정부도 SW 수출 활성화를 위해 SBOM 의무화를 가속화할 것으로 예상한다"고 말했다. 그러면서 "올해는 개인정보보호법 개정에 따른 수십~수백억원대 과징금 부과 처분 시작, 공공·금융기관 망분리 환경개선 로드맵을 통한 IT 신기술 적용 등 보안규제의 변화가 다방면에서 시작된 해"라며 "달라진 업무환경과 변화된 컴플라이언스에 부합하는 솔루션을 지속적으로 개발, 안정화시켜 보안위협으로부터 정보자산을 안전하게 지킬 수 있도록 노력하겠다"고 덧붙였다.

2024.12.04 17:00장유미

염흥열 교수 "안전한 SW 공급망 필수…망 내부 훤히 보여야"

"최근 개별 소프트웨어(SW)뿐 아니라 SW 공급망 보안 중요성이 커졌습니다. 국내 정부도 공급망에 소프트웨어 자재 명세서(SBOM)를 의무화해야 합니다. SBOM이 SW 개발부터 유지·운영 환경 안전성을 획기적으로 높일 것입니다." 순천향대 염흥열 명예교수는 6일 서울 강남 섬유센터에서 열린 '제14회 SW 개발보안 컨퍼런스'에서 "SW 공급망 보안에 SBOM은 필수"라고 강조했다. SBOM은 SW에 포함된 모든 구성 요소 목록을 나타내는 문서다. SW 제품 투명성을 높이고 보안 취약점을 효과적으로 관리하기 위해 사용된다. SBOM에는 라이선스 정보와 버전 번호, 구성 요소, 세부 정보, 공급업체 등에 대한 정보가 있다. 염흥열 교수는 "기업·개발자는 SBOM의 제품 구성 요소 가시성을 통해 SW 취약점을 스캔하거나 위협 대처를 원활히 할 수 있다"고 강조했다. "SBOM, SW 개발자·운영자·구매자 모두 도와" 염흥열 교수는 SBOM이 SW 개발자와 운영자, 구매자에게 기술적 이점을 제공한다고 주장했다. 염 교수는 "개발자는 SBOM을 통해 사용 중인 SW 구성 요소가 최신 버전인지 확인할 수 있다"며 "SW가 어떻게 이뤄져 있는지 미리 파악함으로써 보안 취약점에 신속하게 대응할 수 있다"고 설명했다. 이를 통해 개발자는 개발 과정에서 효율성을 높이고 제품 안정성을 올릴 수 있는 셈이다. 또 구매자는 SBOM을 통해 구입한 SW 제품이 어떻게 구성됐는지 투명하게 확인할 수 있다. 이에 잠재적인 취약점을 미리 파악할 수 있다. 염 교수는 "제품 라이선스 정보를 명확하게 이해할 수 있다"며 "라이선스 위반 등 법적 위험까지 줄일 수 있다"고 설명했다. 이어 "운영자도 SBOM으로 운영 중인 SW 특정 모듈에서 보안 취약점을 사전에 파악할 수 있다"며 "안정적인 시스템 운영과 보안 관리를 원활히 할 수 있을 것"이라고 덧붙였다. 또 그는 "결과적으로 SBOM은 SW의 투명성, 책임성, 신뢰성을 높임으로써 제품 개발부터 운영까지 전 과정에 다양한 이점을 제공한다"고 강조했다. "美·EU, SBOM 적용 활발…韓도 의무화해야" 염 교수는 미국과 유럽연합(EU)처럼 국내 정부도 SBOM을 공급망 위험 관리 핵심 요소로 다뤄야 한다고 주장했다. 실제 조 바이든 미국 대통령은 2021년 사이버 보안 역량 강화를 위한 행정명령을 발표했다. 바이든 대통령은 연방 정부에 납품되는 모든 SW에 SBOM 적용을 의무화했다. 미국 국립표준기술연구소(NIST)도 안전한 SW 개발 환경에 대한 표준 절차와 기준을 산업계에 요청한 바 있다. 이에 미국 SW 공급자들은 해당 표준을 준수하고 있음을 증명해야 한다. EU도 사이버 회복력 법(Cyber Resilience Act)을 통해 SBOM 도입을 추진하고 있다. 이 법안은 최근 EU 의회를 통과했다. 이에 모든 디지털 기기에 포함된 SW에 SBOM을 의무화할 예정이다. 염 교수는 "미국과 EU는 SOBM을 통해 SW 구성 요소 취약점을 신속하게 식별·대응함으로써 전체적인 사이버 보안을 강화하고 있다"고 말했다. 이와 관련해 국내 정부도 올해 5월 SW 공급망 보안 가이드라인을 발표하긴 했다. 다만 이를 의무화하진 않은 상태다. 염 교수는 "글로벌 사회는 SW 공급망 보안을 중요하게 본다"며 "이에 발맞춰 국내 정부도 SBOM 의무화를 적극 추진해야 한다"고 강조했다.

2024.11.06 16:23김미정

"안전한 SW 생태계 구축"…정부, 공급망 보안체계 마련한다

소프트웨어(SW) 공급망을 표적 삼은 사이버 위협이 늘어난 가운데 정부가 SW 공급망 보안체계 마련에 나섰다. 국가정보원과 과학기술정보통신부는 국가사이버안보센터 판교캠퍼스에서 국가안보실 등 관계기관 및 산학연 전문가 60여 명이 참석한 가운데 SW 공급망 보안 태스크포스(TF)를 발족했다고 25일 밝혔다. 해당 TF에는 국방부·행안부·디지털플랫폼정부·방첩사 등 관계기관과 SW 산업계를 포함한 산학연 전문가들이 참여한다. 국정원 주관 '정책분과'와 과기정통부 주관 '산업분과'로 나눠 매월 그룹별 회의와 전체회의를 개최한다. 내년 1월까지 공공분야 SW 공급망 보안기준 등 보안정책과 산업지원·육성방안을 마련한다. 2027년 시행을 목표로 단계별 로드맵도 공개한다. 국정원은 현재 망분리 개선방안으로 추진중인 다층보안체계(MLS)와도 연계해 공공분야 공급망 보안정책을 수립할 예정이다. 최근 사이버위협은 단순히 개별 PC 해킹에 그치지 않고 SW 개발업체를 공격하는 추세다. 공격자는 SW 제품이나 업데이트 파일에 악성코드를 주입해 해당 SW 제품이 사용된 IT장비나 PC 전체를 자동으로 감염시키는 등 공급망을 공략하는 특징이 있다. 특히 자율주행·사물인터넷(IoT)·스마트시티 등 국가 사회 전반에 디지털전환이 활성화하면서, 북한을 비롯한 국가배후 및 국제 해킹조직들은 SW 공급망 공격을 통해 공공분야뿐 아니라 사회 전반에 걸친 대규모 피해와 사회적 혼란을 노리는 분위기다. 이에 국정원과 과기정통부는 SW 공급망 전반의 사이버위협 요인을 진단하고 보안정책과 산업계 지원방안을 마련하기 위해 해당 TF를 구성했다. 대통령실 신용석 사이버안보비서관은 "전세계적으로 사이버안보에서 공공·민간 협력 중요성이 강조되고 있다"며 "이번 민관 합동 TF 발족은 SW 공급망 보안영역에서 공공·민간 협력의 모범사례가 될 것"이라고 말했다. 국정원 국가사이버안보센터장은 "SW 공급망 보안은 최근 국가 사이버안보 분야에서 가장 중요한 요소로 부상했다"며 "산업과 안보에 미치는 영향을 충분히 검토하고 국내 기업들과 공감대를 지속 형성해가면서 SW 공급망 보안정책을 마련하겠다"고 밝혔다. 과기정통부 류제명 네트워크정책실장은 "디지털 전환 가속화로 SW 공급망 대상 공격이 국내 경제· 사회에 미치는 영향이 증가하고 있다"며 "SW 공급망 보안이 기업에 부담보다는 경쟁력 강화와 해외 무역장벽 극복을 위한 지원책이 될 수 있도록 민·관이 머리를 맞대 정책을 수립하겠다"고 강조했다.

2024.09.25 17:22김미정

[현장] "국내 SW 공급망 보안 정책 낙후…美·EU 사례 참고해야"

국내 소프트웨어(SW) 공급망 보안을 효율적으로 관리하기 위한 새 지침이 필요하다는 전문가 주장이 나왔다. 미국이나 유럽연합(EU)처럼 공급망 보안을 관리에 자동화된 대응 체계 구축과 정보보안 기본 지침 대상 확대가 절실하다는 입장이다. 국가정보원 관계자는 10~12일 서울 코엑스에서 열린 '사이버 서밋 코리아(CSK) 2024'에서 SW 공급망 보안 정책 개선 방안을 이같이 강조했다. 국정원 관계자는 국내외에서 SW 공급망 보안 중요성이 높아지고 있다고 했다. SW 공급망 보안이란 SW의 개발, 설계, 배포, 업데이트 등 공급망 전 과정에 발생할 수 있는 보안 위협을 예방·대응하는 체계다. SW가 최종 사용자에게 전달되기 전까지 거치는 모든 과정에서 보안 취약점을 식별·보호하는 것을 목표로 한다. 최근 몇 년간 주요 SW 공급망에서 여러 사이버 공격이 발생했다. SW 공급망 보안이 주요 화두로 떠오른 이유다. 이런 보안 위협을 줄이기 위해 기업·기관들은 제로 트러스트 모델 등 보안 전략을 활용하는 추세다. "정보보안 기본 지침 대상 늘려야…보안 적합성 검증 제도 개선 필요" 국정원 관계자는 국내서 시행 중인 SW 공급망 보안 제도가 시대착오적이라고 주장했다. 그는 "정보보안 기본 지침이 1999년부터 현재까지 운용자 관점에 머물러 있다"며 "해당 지침에 공급망 보안 관련 준수 활동은 반영되지 않았다"고 말했다. 현재 보안 행정기관·공공기관 정보시스템 구축, 운용 지침에 따라 보안 취약점 없는 안전한 SW 개발을 위한 보안 가이드라인이 마련된 상태다. 그러나 SW 개발 과정에 준수해야 할 것만 제시됐다. SW를 사이버 위협으로부터 안전하게 보호하고 보안 취약점에 대응·조치하는 활동은 포함되지 않았다. 그는 보안 적합성 검증 제도도 지적했다. 미국과 EU 정책 대비 적용 범위가 제한적이라는 이유에서다. 현재 국가 공공기관에 도입된 보안용 IT 제품들은 보안 적합성 검증을 받아야 한다. 그러나 국내 공공기관 정보보안 정책이 미국이나 EU 정책에 비해 보호 대상 제품과 시스템 적용 범위가 좁은 실정이다. 실제 국내 공공기관에 도입되는 보안 기능을 갖춘 정보통신 제품만 보안 적합성 검증을 받는다. 보안 기능을 명시적으로 갖춘 제품만 검증받는 셈이다. 반면 미국과 EU는 더 넓은 범위에 속한 SW와 제품 대상으로 공공망 보안 정책을 시행하고 있다. 예를 들어 미국은 '중요 SW'를 정의하고 해당 SW가 공공기관에 도입되기 전 공급망 신뢰성을 검증토록 요구한다. EU는 '디지털 기능을 탑재한 제품' 대상으로 보안 정책을 시행한다. 명시적으로 보안 기능이 없어도 디지털 기능을 갖춘 모든 제품이 보안 검증 대상이 될 수 있다. "美·EU, SBOM으로 공급망 자동화…韓도 배워야" 국정원 관계자는 미국과 EU처럼 국내 정부도 SBOM을 공급망 위험 관리 핵심 기술 요소로 다뤄야 한다고 주장했다. SBOM은 SW에 포함된 모든 구성 요소 목록을 나타내는 문서다. SBOM은 SW 제품 투명성을 높이고 보안 취약점을 보다 효과적으로 관리하기 위해 사용된다. 그는 "국가 공공기관에 SW 제품을 도입하기 전 공급망 신뢰성을 확인하고 국가 공공기관에 도입된 소SW 제품에서 신규 위협을 식별 시 즉각 대응 조치를 실시해야 한다"며 "이를 위해 SBOM 등 자동화된 대응 체계가 필요하다"고 강조했다. 이어 "국내서도 개발 공급 운영기관 간 SBOM을 생성하고, 안전하게 유통할 수 있다"며 "이를 통해 SW 구성 요소 정보를 추적·관리할 수 있다면 제품 신뢰성을 지속적으로 관리할 수 있을 것"이라고 덧붙였다.

2024.09.11 18:34김미정

[유미's 픽] 글로벌 '먹통' 유발 크라우드스트라이크·MS '위기'…SW 공급망 허점 도마 위

마이크로소프트(MS) 클라우드 서비스 장애를 유발해 세계를 마비시킨 사이버 보안 기업 크라우드스트라이크가 위기에 빠졌다. 피해나 규모면에서 '역대 최악의 IT 대란'이라는 평가와 더불어 복구가 몇 주 걸릴 것이란 예측 속에 보안·소프트웨어(SW) 기업들의 공급망 관리에 대한 문제점도 제기됐다. 20일 뉴욕증권거래소(NYSE)에 따르면 크라우드스트라이크 주가는 지난 19일(현지시간) 전일 대비 11.10% 하락한 304.96달러에 거래를 마쳤다. 장중 한 때 낙폭을 15% 이상까지 늘렸다가 소폭 만회했다. 이날 MS 주가 역시 전일 대비 0.74% 떨어졌다. 반면 경쟁사 팔로알토 네트웍스 주가는 2.16% 올랐다. 동종업체 센티넬원 주가도 7.85% 급상승했다. 두 업체의 주가가 하락세를 보인 것은 크라우드스트라이크가 보안 소프트웨어를 업데이트하는 과정에서 MS 운영체제인 '윈도'와의 충돌로 MS 클라우드 서비스에 차질이 빚어졌기 때문이다. 이 일로 항공·통신·방송·금융 등 인프라에서 전산망 장애가 발생해 업무가 마비되며 곳곳에서 혼란을 겪게 됐다. 또 리눅스 등 다른 OS도 있지만 상당수 기업들이 MS '윈도'를 서버나 PC OS로 채택하고 있다는 점에서 이번에 피해가 컸다는 분석이다. 이에 사티아 나델라 MS 최고경영자(CEO)와 조지 커츠 크라우드스트라이크 CEO는 이번 사태를 해결하기 위해 서로 협력하면서 문제를 해결해나가겠다는 입장을 밝혔지만, 해결까지 수일 혹은 몇 주가 걸릴 것이란 분석에 위기를 맞게 됐다. 나델라 CEO는 자신의 엑스(X·옛 트위터) 계정을 통해 "크라우드스트라이크가 어제 업데이트를 발표했는데, 우리는 이것이 세계 IT 시스템에 영향을 미친 문제를 인지하고 있다"며 "(MS는) 크라우드스트라이크 및 업계 전반과 긴밀히 협력해 고객 시스템을 안전하게 시스템을 복구할 수 있도록 기술 지침 및 지원을 제공하고 있다"고 전했다. 이 같은 글에 일론 머스크 테슬라 CEO는 "이로 인해 자동차 공급망에 발작이 일어났다"고 댓글로 답해 눈길을 끌기도 했다. 미국 전기차업체 테슬라 역시 이번 IT 대란 사태 여파로 일부 생산 라인이 중단됐기 때문이다. 이번 사태의 원인이 된 크라우드스트라이크 측은 사과의 뜻을 전하면서도 맥과 리눅스 등에는 영향을 받지 않았다고 설명했다. 또 이번 사건은 보안사고나 사이버 공격이 아니라는 점도 분명히 했다. 조지 컬츠 CEO는 "이번 사태로 영향을 받은 모두에게 깊이 사과드린다"며 "고객에게 지속적으로 최신 업데이트를 제공할 것"이라고 밝혔다. 이번 일로 크라우드스트라이크의 주가는 당분간 하락세를 면치 못할 것이란 전망이 나왔다. IT 대란을 유발한 만큼 향후 MS 클라우드를 쓴 고객들이 손해배상을 청구할 시 막대한 비용이 발생할 것이란 점도 우려되는 대목이다. 시가총액이 116조 원에 달하는 크라우드스트라이크의 지난 1분기 매출은 전년 동기보다 33% 늘어난 9억2천100만 달러(약 1조2천억 원), 순이익은 86배가 늘어난 428만 달러(약 59억5천만 원)를 기록한 바 있다. 투자은행 웨드부시 분석가 댄 아이브스는 "이번 사태는 크라우드스트라이크에 분명한 수치를 안겼다"며 "주가에 하방 압력이 작용할 것"이라고 관측했다. 오펜하이머 분석가 이타이 키드론은 "크라우드스트라이크 명성에 타격을 안겼다"며 "투자심리뿐 아니라 앞으로의 경영 실적에 영향을 미칠 가능성이 높다"고 전망했다. 이번 사태를 두고 업계에선 SW 공급망 관리 체계의 허점이 그대로 노출됐다고 평가했다. SW 공급망이란 소프트웨어가 개발, 배포, 설치되는 전체 과정과 일련의 활동을 뜻한다. 온라인·클라우드로 제품을 설치하고 주기적으로 제품 업데이트를 진행한다는 점에서 패키지 SW를 팔 던 예전 방식과 다소 차이가 있다. 컴퓨터를 사용할 때 프로그램들이 자동 업데이트 되는 것이 흔히 볼 수 있는 방식이다. 이 탓에 기술적 오류가 발생하거나 제3자가 해킹해 SW 업데이트를 악용할 경우 이번 사고처럼 세계 곳곳에 대혼란을 야기하며 상당한 경제적 손실을 초래할 수 있다. 또 SW 공급망 공격으로 인한 비용이 갈수록 증가하고 있는 만큼 각 기업들이 대책 마련에도 적극 나서야 할 필요가 있다는 지적도 있다. 실제 가트너가 발간한 보고서에 따르면 SW 공급망 공격으로 인한 비용은 지난해 460억 달러(약 64조 원)에서 오는 2031년 1천380억 달러(약 192조 원)로 증가할 전망이다. 가트너는 "기업·기관이 사용하는 소프트웨어 90% 이상이 오픈소스에 종속돼 있는데 이 중 74%가 고위험군"이라며 "부적절한 보안 개발 관행으로 인해 취약점이 코드에 삽입될 확률이 높다"고 지적했다. 이어 "공격자가 개발 환경에 직접 침투해 멀웨어가 삽입된 SW가 배포되도록 하는 방법도 흔한 SW 공급망 공격"이라며 "특히 오픈소스 패키지에 멀웨어를 삽입하는 공격 빈도가 최근 들어 급증했다"고 덧붙였다. 가트너는 내년까지 전 세계 조직의 45%가 SW 공급망 공격을 경험할 것으로 내다봤다. 과학기술정보통신부와 한국인터넷진흥원(KISA) 역시 '2023년 사이버 보안 위협 분석과 2024년 사이버 보안 위협 전망'을 통해 올해 주요 사이버 위협 중 첫 번째로 SW 공급망 공격을 꼽았다. 블룸버그통신은 "이번 사태와 같은 치명적인 장애는 글로벌 공급망에 대한 위협이 점점 더 심각해지고 있음을 보여준 것"이라며 "전 세계에서 가장 크고 중요한 일부 산업의 IT 시스템이 상태적으로 잘 알려지지 않은 소수의 SW 공급업체에게 크게 의존해왔다는 점이 문제"라고 지적했다. 업계 관계자는 "SW 공급망 문제를 해결하기 위해 개별 기업·기관의 보안 노력은 물론 정부와 업계에서도 대안 마련에 적극 나설 필요가 있다"며 "일시적이거나 단편적인 취약점 제거로는 공급망 전반의 위험을 낮출 수 없기 때문에 공급망에 관계되는 모든 조직이 함께 문제를 해결해야 한다"고 밝혔다. 가트너는 SW 공급망 전반의 리스크를 낮추기 위해 ▲큐레이트 ▲생성 ▲소비를 주축으로 한 SSCS 전략을 제시했다. 큐레이트는 보안, 라이선스, 지적재산, 공급망 위험과 관련한 종속성과 구성요소를 사전에 평가하고, 위험하거나 의심스러운 요소를 개발 과정에서 선택하지 않도록 한다. 또 오픈소스 위험을 자동으로 찾아주는 도구와 SBOM·VEX 등을 사용하는 것을 권고한다. 생성은 소프트웨어 아티팩트 보안 요구사항과 알려진 취약점 악용 가능성의 사용 시점에 소프트웨어 취약성을 평가한다. 최근 공격자들은 악성코드를 종속성에 은밀하게 삽입하고 있기 때문에 개발 파이프라인 전체에서 악의적인 코드 식별과 수정이 필요하다. 가트너는 "NIST SSDF와 같은 검증된 보안 개발사례를 채택하고 코드 개발 시 보안 내재화 접근방법에 따라야 한다"며 "SOC 혹은 제품 보안 사고 대응(PSIRT) 팀에 의한 취약점 검증을 통해 개발자 기기와 개발도구 체인 전반에서 무결성을 검증해야 한다"고 조언했다. 소비는 도입·구축 및 운영하는 전체 과정에서 위협을 식별하고 완화하는 것을 말한다. 공급업체의 보안수준을 평가하는 한편, 도입되는 소프트웨어의 구성요소와 종속성을 파악하고 목록화 해 취약성을 관리해야 한다는 의미다. 가트너는 "패키지 소프트웨어에도 악성코드가 포함돼 있어 전문적인 테스트와 평가가 필요하다"며 "공급망 프레임워크의 큐레이션, 생성, 사용 전반에서 모든 위험 요소를 고려해야 할 것"이라고 밝혔다.

2024.07.20 11:28장유미

"사이버보안 미래 연다"…동훈아이텍, 글로벌 보안기업과 협력

동훈아이텍이 사이버보안 등급평가 분야의 세계적 선도기업과 파트너십을 맺어 국내 사이버보안 시장 확대를 추진한다. 동훈아이텍은 시큐리티스코어카드(SecurityScorecard)와 파트너십을 체결했다고 15일 밝혔다. 이번 협력을 통해 국내 기업들의 사이버보안 등급을 향상시키고 안전한 비즈니스 환경을 조성할 계획이다. 전 세계적으로 데이터 유출에 따른 기업 피해가 증가하는 와중에 솔루션에 의한 공급망 공격으로 피해를 입는 사례가 점점 늘고 있다. 이에 따라 기업이 내부 보안을 강화할 뿐 아니라 공급업체의 보안상태를 점검할 필요성이 강조되고 있다. 공급망 공격에 대응하기 위해 동훈아이텍은 시큐리티스코어카드와의 적극적 파트너십을 모색했다. 시큐리티스코어카드가 업계 최고 수준의 공급망 보안 모니터링과 자동화된 평가를 통해 기업의 보안 상태를 파악하고 조언을 제공하기 때문이다. 특히 전세계의 위협신호를 10개 유형 그룹에 따라 즉시 모니터링하고 A~F 등급에 따라 해석해 조직에 맞춤형 조언을 제공한다. 시큐리티스코어카드와의 파트너십을 통해 동훈아이텍은 기업 간 보안 경쟁력을 높이고 고객사의 정보 보안 최적화를 지원할 계획이다. 동훈아이텍은 지난 2000년 설립된 후 지속적으로 국내 정보보안·관리시스템 분야를 선도하고 있다. 특히 국내 최고의 기술 인력을 통해 경쟁력 있는 보호 솔루션을 발굴하고 안전한 기술 서비스를 제공하는 등 고객사의 경쟁력 강화를 적극 지원하고 있다. 신재욱 동훈아이텍 대표는 "사이버보안 등급 평가 분야의 글로벌 선도기업인 시큐리티스코어카드와 파트너십을 맺게 돼 매우 의미 있게 생각한다"며 "파트너십을 통해 기업 간 보안 등급의 경쟁력을 향상하기 위한 새로운 지표로 자리매김할 수 있기를 기대한다"고 밝혔다.

2024.07.15 11:07조이환

  Prev 1 Next  

지금 뜨는 기사

이시각 헤드라인

SKT, 침해사고 이후 해지 위약금 면제...8월 요금 50% 감면

인천공항-면세업계, 임대료 인하 공방…"깎아줘" vs "왜 너만"

챗GPT가 우주선 조종하는 날 올까

전 국민 최대 45만원 '소비쿠폰' 지급…21일부터 신청

ZDNet Power Center

Connect with us

ZDNET Korea is operated by Money Today Group under license from Ziff Davis. Global family site >>    CNET.com | ZDNet.com
  • 회사소개
  • 광고문의
  • DB마케팅문의
  • 제휴문의
  • 개인정보취급방침
  • 이용약관
  • 청소년 보호정책
  • 회사명 : (주)메가뉴스
  • 제호 : 지디넷코리아
  • 등록번호 : 서울아00665
  • 등록연월일 : 2008년 9월 23일
  • 사업자 등록번호 : 220-8-44355
  • 주호 : 서울시 마포구 양화로111 지은빌딩 3층
  • 대표전화 : (02)330-0100
  • 발행인 : 김경묵
  • 편집인 : 김태진
  • 개인정보관리 책임자·청소년보호책입자 : 김익현
  • COPYRIGHT © ZDNETKOREA ALL RIGHTS RESERVED.