검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'보안 소프트웨어'통합검색 결과 입니다. (82건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

美, 소프트웨어 공급망 보안 규제 현실화

미국의 소프트웨어(SW) 공급망 보안 규제가 올해 본격화한다. 소프트웨어 개발사는 물론이고 의료기기, 사물인터넷(IoT) 기기 등 각종 기기 제조사까지 여파가 예상돼 대응이 시급하다. 미국 바이든 행정부는 지난 2021년 5월 SW 공급망 보안을 강화하는 행정명령(EO 14028)을 발표했다. 이후 백악관 예산관리국(OMB)은 SW 공급망 보안 강화에 관한 M-22-18이라는 문서를 내놨다. 이 문서에 따르면 미국 정부에 SW를 판매하는 기업은 국립표준원(NIST)이 만든 '보안 소프트웨어 개발 프레임워크(SSDF)'를 준수해야 한다. 올해부터 정부기관과 계약하는 기업은 반드시 제품이 SSDF를 준수했다는 증명을 제공해야 한다. 이희조 고려대 컴퓨터학과 교수는 "올해가 사실상 미국 SW 공급망 보안 규제가 기업에 직접 적용되는 시점"이라며 "의료기기를 비롯해 자동차, 각종 제조업과 관련된 2, 3차 협력 기업이 SW 공급망 보안 규제에 관심을 기울여야 한다"고 말했다. 이어 "중소중견 협력사가 보안을 고려한 개발에 준비가 안되면 이를 포함한 제품을 만든 대기업 수출에 영향을 받을 수 있다"면서 "문제는 SSDF와 SBOM(SW Bill of Materials) 관리는 담당조직과 프로세스가 필요해 준비에 상당 기간이 걸린다"고 말했다. 미국 정부는 2021년 행정명령 후 기업이 안전하게 SW를 개발하는 프로세스를 만들고 이를 체계화하는 방법론을 제시하는데 주력했다. 행정명령 후 미국 기업들이 관련 프로세스를 만들고 체계화하는 작업을 도왔다. 미국 규제는 ▲자기증명 요건(Self-Attestation Requirement) ▲펌웨어 포함(Firmware Inclusion) ▲제품 보안에 대한 공급업체의 책임(Vendor Responsibility for Product Security) 등으로 요약할 수 있다. SW개발사는 미국 정부기관에 제품을 공급할 때 NIST 가이드라인을 준수하는지 확인해야 한다. 일부 기관은 시스템 중요도에 따라 제3자 평가를 요구할 수도 있다. 미국 정부는 SW에 대한 안전한 개발 프로세스 뿐만 아니라 라이브러리에 쓰인 오픈소스 구성 요소까지 모두 출처를 밝히고 안전성을 입증하라고 요구한다. 기업은 다양한 오픈소스 SW를 이용해 애플리케이션을 개발하고 하드웨어에 탑재한다. 이 과정에 들어간 오픈소스에 취약점이 없는지 모두 점검해야 한다. SW 개발에 활용되는 모든 정보를 담은 명세서 'SBOM'를 작성, 제출해야 한다. 해당 규제는 펌웨어, 운영체제, 애플리케이션 등을 모두 포괄한다. 하드웨어에 들어가는 펌웨어도 반드시 가이드라인을 준수해야 한다. 미국 정부기관에 납품하는 기업은 제품 수명 주기 전반에 걸쳐 SW 취약성과 업데이트를 확인해야 한다. 이를 준수하지 않으면 제재를 받는다. 문제는 한국 기업 준비도다. 미국 정부가 요청하는 SSDF와 SBOM을 준비하려면 관련 조직과 프로세스를 갖춰야 한다. 그나마 대기업은 조직을 정비했지만 2,3차 협력 회사들이 이에 대한 준비가 미흡하다. 이같은 조치는 SW 공급망에 대한 사이버 위협 증가 때문이다. 2020년 미국 IT 관리 소프트웨어 및 원격 모니터링 도구 회사인 솔라윈즈(SolarWinds) 제품이 해킹에 악용됐다. 당시 솔라윈즈 제품을 사용한 정부기관이 사이버 공격에 그대로 노출됐다. 해커는 솔라윈즈 제품의 SW취약점을 이용해 해당 제품을 쓰는 기업 내부로 침투했다. SW 공급망 공격은 한 번 성공하면 다양한 조직이나 기업으로 침투하는 통로가 된다. 기존 악성코드 공격보다 탐지가 어렵다. 해커는 침투하고자 하는 기업이나 기관이 사용하는 소프트웨어 등의 취약점을 활용해 측면으로 공격한다. 김형섭 고려대 소프트웨어보안연구소 연구기획팀장은 "미국 식품의약품안전청(FDA)은 의료기기 기업에게 사이버 보안과 관련된 SBOM을 요구했다"면서 "서드파티(3rd party) 소프트웨어에 대한 보안 가시성과 투명성에 대한 대처 가이드까지 요청하는 상황"이라고 설명했다. 미국 공급망 보안 기업 이클립시움 달튼 탄(Dalton Tan) 시니어 디렉터는 "SW 보안성 증명은 단순히 애플리케이션뿐만 아니라 하드웨어에 내장된 펌웨어도 포함된다"면서 "미국으로 장비와 기기 수출이 많은 한국기업은 이에 대한 대비가 시급하다"고 말했다.

2024.01.16 15:33김인순

에이나 "모바일신분증 기술로 '인텔리전트 워크' 시대 열 것"

IT 서비스 및 보안업계에서 모바일신분증 기술이 인텔리전트 워크 시대의 문을 열 것이란 전망이 나왔다. 모바일 보안인증 기술이 단순한 출입 관리 뿐만 아니라 인사관리, 마이데이터 등 활용 범위가 넓어지고 있다는 것이다. 16일 모바일 신분증 전문기업 에이나는 여의도 소재 글래드호텔에서 '소수 포럼 조찬세미나 2024'를 개최했다. 이날 에이나 우유상 상무는 “모바일신분증 기술이 인텔리전트 시대의 중심에 있다”며 “비대면, 비접촉 요구가 인공지능(AI) 기술로 가속하고 있으며 종전과 전혀 다른 방식의 라이프 스타일 변화가 시작됐다”고 밝혔다. 에이나는 “기업의 시장변화 및 기술적 발전외에도 특히 공공기관들의 변화와 대응 속도가 뚜렷하고 빠르게 나타나고 있다”는 입장이다. 에이나 관계자는 “인천공항공사의 경우, 지난해 7월 모바일 신분증 일환으로 얼굴과 여권을 등록해 자동으로 출국과 입국을 할 수 있는 시스템을 오픈했다”며 “지난해 10월 말에는 금융결제원에서 시중 은행들을 묶어 이중화한 얼굴 인증 체계도 도입을 하려고 POC 기술검증 및 사업자 선정도 마무리된 상태”라고 설명했다. 또한 “디지털 전환 전락에서의 모바일 신분증을 통해 마이패스, 마이데이터, 마이서비스 등 3가지 측면에서의 가치창출과 중요성을 인식하고 고객이 필요로 하는 비대면 업무환경 통합지원을 확대하고 있다”고 덧붙였다. 여기서 마이패스는 간편인증, 생체인증, 로그인 ID 등 신분증 및 출입증 기능을, 마이데이터는 자기 결정권 기반 데이터 서비스를 뜻한다. 마이서비스는 인사관리 교육과 디지털 인증 배지 기능을 의미한다. 우 상무는 “출입관리와 인사관리 등 보안 로그인 기능을 비롯해 전자계약, 모바일 식권, 법인 교통카드 등 다양한 옵션을 제공하고 회사와 기관의 필요 여부에 따라 단위별로 기능을 선택할 수 있다”고 말했다. 그는 “결국 개인정보를 처리하는 데 있어 데이터에 대한 자기결정권이 마이데이터 사업의 전반에 항상 영향을 준다”며 “다양한 모바일 디지털 서비스를 사용자에게 효율적이고 단순하게 제공해 주느냐가 앞으로의 메가 트렌드”라고 짚었다. 이날 고대준 전 행정안전부 스마트워크센터장은 모바일 신분증 기술을 활용한 스마트워크센터 서비스는 기업과 공공 전 분야에서 고도화와 다양한 서비스 유형의 확장이 예상됨을 강조했다. 스마트워크센터란 내부 사용자와 모바일 사용자, 출장 근무자를 위한 물리적 사무공간과 ICT 기반의 사무 시스템 전반을 포괄한다. 고 센터장은 “올해까지 15개 지방자치단체 센터에는 무인자동화 체계를 마련할 것”이라며 “AI와 5G, 증강현실(VR), 메타버스 등 4차 산업 기술을 연계한 미래모델과 시범서비스를 적용하는 게 예상된다”고 밝혔다. 고 센터장은 “현재 전국 17개 광역시도에 정부급 센터와 15개 도시에 시·도청급 센터가 있다”면서 “점진적으로 장차관급 집무실을 없애고 센터 이용을 유도하고 있다”고 설명했다. 그는 “스마트워크센터에서 방문자 유형에 따라 보안 관리 방안을 수립하고, 공간에 필요한 보안 시스템 및 장비를 적재적소에 배치, 운영하기 위해 끊임없이 업데이트 중”이라고 밝혔다. 이어 “중앙인사혁신처의 경우 이미 발급된 모바일 공무원증을 활용한 디지털 정부의 서비스를 가시화하기 위하여 출퇴근 및 출장업무시 모바일 공무원증과 연동된 자동회된 인사 복무관리를 지원하기 위한 사업이 작년에 발주되었으며 향후 고도화사업을 계속 추진할 것으로 판단된다”고 덧붙였다.

2024.01.16 10:03조성진