ZDNet 검색 페이지

'소프트웨어 공급망'통합검색 결과 입니다. (8건)

[보안리더] 이만희 교수 "공급망 보안 대중화 앞장···매일 200명에게 관련 소식 전해"

공급망 보안은 제 인생에서 가장 중요한 일이 됐어요. 2021년부터 한국정보보호학회 공급망보안연구회장을 맡고 있습니다. 연구회를 만들고 나서 회원들에게 뭐 해드릴게 없을까 하다 공급망 보안 관련 소식을 전해 드리면 좋겠다 싶어 시작했습니다. 지금은 공급망 보안 뉴스 외에도 세계에서 일어나는 주요 보안 뉴스도 함께 알려드리고 있습니다. 소식을 주고받는 사람이 200명이 넘어요. 연구원, 정책 입안자, 산업계 등 다양합니다. 한국에 공급망 보안 문제가 생기면 바로 뭉칠 수 있어요. 이렇게 공급망 보안만 생각하다 보니 회사까지 차리게 됐습니다. 공급망 보안 관련 연구를 하는 교수이면서 기업 대표인 사람은 고대 이희조 교수님 다음으로 한국에서 제가 두 번째인 것 같습니다. 이만희 한남대 컴퓨터공학과 교수는 최근 지디넷코리아와의 인터뷰에서 이같이 밝혔다. 이 교수가 고급망 보안에 관심을 갖게 된건 8년 전 도널드 트럼프 미국 대통령 때문이다. "당시 트럼프 대통령이 중국에서 수입한 서버 안에 스파이 칩'이 들어었다'고 주장하며 중국 제품을 밀어냈어요. '하드웨어 공급망에서 출발한 문제가 소프트웨어로 퍼지겠구나'라고 생각했죠. 이후 공급망 보안에 관심을 갖게 됐습니다." 소프트웨어를 빠르게 개발하기 위한 오픈 소스가 퍼지면서 공급망 보안 위협도 두드러졌다고 이 교수는 전했다. 악성 코드에 감염된 오픈 소스를 쓰면 치명적이다. 그는 “소프트웨어 개발자는 보통 20%를 직접 개발하고 80%는 오픈소스나 외부 라이브러리를 가져다 쓴다"며 “자동차 회사가 차에서 가장 중요한 엔진을 직접 만들지만 타이어는 타이어 회사에서, 유리는 유리 회사서 사서 조립하는 것과 마찬가지”라고 빗댔다. 이어 “그런데 자동차 회사는 어떤 부품을 가져다 썼는지 명확하게 인지하고 관리를 하지만, 소프트웨어 개발자는 어떤 오픈 소스를 가져다 썼는지 모르는 경우가 너무 많다”며 현재 소프트웨어 개발시 출처 관리의 관행 문제점을 지적했다. 그는 “보안 분야에서 처음으로 국정원과 과기정통부가 공동 지침을 지난해 5월 발표했고 지금은 국내 공급망보안 제도화를 목표로 공급망 보안 로드맵을 준비중”라고 전했다. 그는 한국이 정보기술(IT) 강국인 만큼 IT 보안이 강해야 한다는 입장이다. IT 산업 규모가 클수록 사이버 공격을 많이 당해서다. 이 교수는 “완전히 소프트웨어 세상이 됐다”며 “보안 취약점 하나로 우리 사회가 무너질 수 있다”고 지적했다. 그러면서 “안전 장치를 구비해야 한다”며 “고속도로에서 더 빠르게 갈 수 있는데도 안전을 위해서라면 돈을 들여 카메라와 과속 측정기를 설치하지 않느냐”고 되물었다. 이 교수는 공급망 보안을 연구하는 교수 중 회사까지 차린 사람은 국내에서 두 번째 일 것 같다고 자신을 소개했다. 그는 “제자가 '블록체인 기반 소프트웨어 보증 시스템'을 주제로 박사 논문을 썼다. 2021년 11월 이 제자와 함께 공급망 보안 전문 회사인 '소프트버스'를 공동 창업했다”고 들려줬다. 소프트버스는 '소프트웨어(software)'와 현실과 가상을 이어주는 '메타버스(metaverse)'를 합한 말이다. 이 기업은 소프트웨어 자산을 관리하도록 돕는 '서플라이 스캔(supply scan)'을 올해 선보이기로 했다. 우리 회사에 컴퓨터가 몇 대, 의자가 몇 개 있는지 기록해 관리하듯 우리 회사 컴퓨터 몇 대에 무슨 소프트웨어가 있는지, 보안 취약점은 있는지, 얼마나 위험한지 등을 자동으로 파악해 사고 나기 전 막아 주는 것을 목표로 하고 있다. 이 서비스를 도입하면 소프트웨어 도입으로 인해 자연적으로 발생하는 공급망 위협을 크게 줄일 수 있을 것으로 기대했다. 아래는 이만희 교수 주요 경력 경북대 컴퓨터공학과 학사 경북대 컴퓨터공학과 석사 미국 텍사스A&M대 컴퓨터공학과 박사 1996.12~2003.7 한국과학기술정보연구원 연구원 2008.9~2009.9 시스코시스템스 하드웨어엔지니어 2010.2~2012.2 국가보안기술연구소 선임연구원 2012.3~현재 한남대 컴퓨터공학과 교수 한국정보보호학회 상임부회장, 충청지부장, 공급망보안연구회 회장, 정보보호학회지 편집위원 과학기술정통부 제로트러스트&공급망보안 포럼 공급망보안 기술/표준 분과장 국가정보원 암호검증위원회 위원, 정보보안 중장기계획 민간자문단 IT 보안인증사무국 인증위원회 위원 국가보안기술연구소 미래기술보안포럼 위원, 청렴시민감사관 국가정보원, 과기정통부 합동 소프트웨어공급망보안 포럼 워킹그룹장

2025.05.04 11:18유혜진

스패로우, SBOM도구에 AI 입혔다…코드 자동 생성

애플리케이션 보안 기업 스패로우(대표 장일수)가 소프트웨어(SW) 공급망 보안에 필요한 소프트웨어 자재 명세서(SBOM·Software Bill of Materials)에 인공지능(AI) 기능을 더했다고 밝혔다. 장일수 스패로우 대표는 22일 서울 여의도 페어몬트앰버서더호텔에서 열린 고객 초청 사업 설명회 '파수 디지털 인텔리전스 심포지움(FDI)'에서 이같이 발표했다. 스패로우는 파수 자회사다. 장 대표는 “AI 기능을 가진 제품을 곧 출시하겠다”며 “코드를 자동으로 만들고, 정탐율을 최고로 끌어올리고, 어떤 취약점부터 우선 조치할지 우선순위 매기고, 취약점을 설명하는 보고서를 자동으로 쓰는 기능을 갖췄다”고 말했다. 장 대표는 “SBOM을 '생성-보강-검증-공유-검토'하는 단계로 관리해야 한다”며 “사람이 하나하나 손보려면 비효율적이라 도구가 필요하다”고 설명했다. 그러면서 '스패로우 엔터프라이즈'를 소개했다. 장 대표는 “SBOM을 만들어 등록하고 공유하면서 관리해야 한다”며 “스패로우는 한 번 만들고 끝나는 게 아니라 지속적으로 상호 검토해 새로운 취약점이 나오면 운영자와 개발자에게 알려 빠르게 조치하도록 돕는다”고 강조했다. 그는 “침해 사고가 아예 안 일어날 수는 없다”며 “어제 취약점이 아니었던 게 오늘은 취약점이 될 수 있으니 계속 관리해야 한다”고 주장했다. 또 “스패로우는 데이터에 기반해 알맞은 수정 방안을 제시한다”며 “문제 유형을 자동으로 나누고, 사람 실수와 반복 작업을 최소화하도록 지원한다”고 했다. 장 대표는 효율적으로 투자하는 법도 귀띔했다. 그는 “생성하려면 대량언어모델(LLM)을 써야 한다”면서도 “분류하는 데에는 기존 머신러닝과 딥러닝으로 충분해 보안과 비용 문제를 해결할 수 있다”고 언급했다. 이어 “모든 이해관계자가 참여해 능동적이고 적극적으로 대응하는 게 공급망 보안”이라며 “한 개인이나 기업 문제가 아니다”라고 덧붙였다.

2025.04.23 11:55유혜진

SBOM 보안 규제·공급망 과제당 3.75억 지원

소프트웨어 자재 명세서(SBOM·Software Bill of Materials)를 쓰려는 기업은 작성 및 취약점 개선하는 데 지원받을 수 있다. 한국인터넷진흥원(KISA)은 31일 SBOM 지원 사업을 한다고 밝혔다. 디지털 상품을 개발하는 기업 가운데 해외 규제 대응 6개 과제, 공급망 위협 대응 2개 과제에 과제당 3억7천500만원까지 준다. SBOM 쓰기를 돕고, SBOM 쓰고도 남은 위협을 조치할 수 있는 설비를 구축하도록 돕는다. 소프트웨어 구성 분석(SCA) 도구와 서버·데이터베이스(DB)를 갖추고 운영하는 기술 등도 포함한다. 참여하려는 기업은 다음 달 21일까지 KISA 전자계약시스템에서 접수하면 된다. 이동화 KISA 공급망안전정책팀장은 “상품에 숨은 위협을 출시 전 SBOM으로 알아채 예방할 수 있다”며 “출시하고도 새로 생기는 위협을 추적해 빠르게 관리할 수 있다”고 말했다. 공급망(Supply chain)이란 설계·개발·유통·판매·이용·개선·폐기 등 모든 단계를 포괄하는 개념이다. 공급망이 디지털로 전환되면서 해킹을 비롯한 보안 위협이 커졌다. 이 팀장은 “2020년 12월 미국에서 정보기술(IT) 관리 소프트웨어 업체 솔라윈즈가 해킹당해 소프트웨어 배포 시스템에 악성 코드가 설치됐다”며 “고객 1만8천명이 총 350만 달러(약 40억원) 피해를 봤다”고 전했다. 이후 미국은 개발·공급 기업이 소프트웨어를 안전하게 개발했는지 스스로 증명해 최고경영자(CEO)가 서명한 결과를 사이버보안·인프라보안국(CISA)에 내도록 했다. 지난해 9월에는 국가 안보 위험 규칙을 제정했다. 중국·러시아와 관련된 자율주행 시스템을 탑재한 자동차를 미국에서 수입하거나 팔지 못한다.

2025.03.31 12:00유혜진

염흥열 교수 "안전한 SW 공급망 필수…망 내부 훤히 보여야"

"최근 개별 소프트웨어(SW)뿐 아니라 SW 공급망 보안 중요성이 커졌습니다. 국내 정부도 공급망에 소프트웨어 자재 명세서(SBOM)를 의무화해야 합니다. SBOM이 SW 개발부터 유지·운영 환경 안전성을 획기적으로 높일 것입니다." 순천향대 염흥열 명예교수는 6일 서울 강남 섬유센터에서 열린 '제14회 SW 개발보안 컨퍼런스'에서 "SW 공급망 보안에 SBOM은 필수"라고 강조했다. SBOM은 SW에 포함된 모든 구성 요소 목록을 나타내는 문서다. SW 제품 투명성을 높이고 보안 취약점을 효과적으로 관리하기 위해 사용된다. SBOM에는 라이선스 정보와 버전 번호, 구성 요소, 세부 정보, 공급업체 등에 대한 정보가 있다. 염흥열 교수는 "기업·개발자는 SBOM의 제품 구성 요소 가시성을 통해 SW 취약점을 스캔하거나 위협 대처를 원활히 할 수 있다"고 강조했다. "SBOM, SW 개발자·운영자·구매자 모두 도와" 염흥열 교수는 SBOM이 SW 개발자와 운영자, 구매자에게 기술적 이점을 제공한다고 주장했다. 염 교수는 "개발자는 SBOM을 통해 사용 중인 SW 구성 요소가 최신 버전인지 확인할 수 있다"며 "SW가 어떻게 이뤄져 있는지 미리 파악함으로써 보안 취약점에 신속하게 대응할 수 있다"고 설명했다. 이를 통해 개발자는 개발 과정에서 효율성을 높이고 제품 안정성을 올릴 수 있는 셈이다. 또 구매자는 SBOM을 통해 구입한 SW 제품이 어떻게 구성됐는지 투명하게 확인할 수 있다. 이에 잠재적인 취약점을 미리 파악할 수 있다. 염 교수는 "제품 라이선스 정보를 명확하게 이해할 수 있다"며 "라이선스 위반 등 법적 위험까지 줄일 수 있다"고 설명했다. 이어 "운영자도 SBOM으로 운영 중인 SW 특정 모듈에서 보안 취약점을 사전에 파악할 수 있다"며 "안정적인 시스템 운영과 보안 관리를 원활히 할 수 있을 것"이라고 덧붙였다. 또 그는 "결과적으로 SBOM은 SW의 투명성, 책임성, 신뢰성을 높임으로써 제품 개발부터 운영까지 전 과정에 다양한 이점을 제공한다"고 강조했다. "美·EU, SBOM 적용 활발…韓도 의무화해야" 염 교수는 미국과 유럽연합(EU)처럼 국내 정부도 SBOM을 공급망 위험 관리 핵심 요소로 다뤄야 한다고 주장했다. 실제 조 바이든 미국 대통령은 2021년 사이버 보안 역량 강화를 위한 행정명령을 발표했다. 바이든 대통령은 연방 정부에 납품되는 모든 SW에 SBOM 적용을 의무화했다. 미국 국립표준기술연구소(NIST)도 안전한 SW 개발 환경에 대한 표준 절차와 기준을 산업계에 요청한 바 있다. 이에 미국 SW 공급자들은 해당 표준을 준수하고 있음을 증명해야 한다. EU도 사이버 회복력 법(Cyber Resilience Act)을 통해 SBOM 도입을 추진하고 있다. 이 법안은 최근 EU 의회를 통과했다. 이에 모든 디지털 기기에 포함된 SW에 SBOM을 의무화할 예정이다. 염 교수는 "미국과 EU는 SOBM을 통해 SW 구성 요소 취약점을 신속하게 식별·대응함으로써 전체적인 사이버 보안을 강화하고 있다"고 말했다. 이와 관련해 국내 정부도 올해 5월 SW 공급망 보안 가이드라인을 발표하긴 했다. 다만 이를 의무화하진 않은 상태다. 염 교수는 "글로벌 사회는 SW 공급망 보안을 중요하게 본다"며 "이에 발맞춰 국내 정부도 SBOM 의무화를 적극 추진해야 한다"고 강조했다.

2024.11.06 16:23김미정

센트릭 소프트웨어, 푸드체인 아이디와 식품·화장품 산업 공급망 혁신 주도

센트릭 소프트웨어가 푸드체인 아이디와 손잡고 식품·화장품 산업 공급망 혁신에 나선다. 센트릭 소프트웨어는 푸드체인 아이디와 전략적 파트너십을 체결했다고 6일 밝혔다. 센트릭 소프트웨어는 패션, 아웃도어, 럭셔리, 식음료, 화장품 및 퍼스널 케어, 가전제품 등 소비재·리테일 분야의 기업들이 디지털 전환 목표를 달성할 수 있도록 엔터프라이즈 솔루션을 제공하고 있다. 푸드체인 아이디는 식품 안전 및 규정 준수와 관련해 다양한 기술 솔루션을 선보이고 있다. 이번 파트너십을 통해 양사는 각자의 전문 역량을 통합함으로써 제품 개발 프로세스를 간소화하는 동시에 지속가능성 표준 및 식품 안전 규정을 준수할 수 있도록 기업들을 지원한다는 방침이다. 이번 파트너십의 중요한 구성 요소는 센트릭 PLM과 푸드체인 아이디의 규정 준수 분석 커넥터다. 강력한 기능의 커넥터를 통해 식음료 및 화장품 브랜드는 푸드체인 아이디의 광범위한 글로벌 규정 준수 데이터베이스와 분석 엔진을 바탕으로 센트릭 PLM에서 규정 준수 분석 평가를 간편하게 수행할 수 있다. 이 커넥터를 활용해 기업은 제품이 전 세계 규제 요건과 품질 및 투명성에 대한 소비자의 기대치를 충족하도록 보장할 수 있다. 또 센트릭 PLM과 푸드체인 아이디 커넥터의 결합은 기업이 원재료의 원산지부터 매장에 진열되기까지 제품을 추적할 수 있도록 지원한다. 센트릭 소프트웨어의 기능을 활용하면 브랜드는 제품 개발 프로세스에 대한 가시성을 강화하고 지속가능성 목표에 부합하는 정보에 입각한 의사 결정을 내릴 수 있다. 클린턴 채드윅 푸드체인 아이디 전략 파트너십 담당 부사장은 "함께 혁신을 주도하고 기업이 소비자와 기업 모두에게 이익이 되는 정보에 기반한 결정을 내릴 수 있도록 지원하는 것을 목표로 하고 있다"고 말했다. 이번 파트너십에는 공급망 관리 및 지속가능성의 모범 사례에 대한 정보를 제공하는 공동 프로젝트는 물론, 진화하는 규정 준수를 간소화하는 기술 솔루션의 통합을 포함하고 있다. 센트릭 소프트웨어와 푸드체인 아이디는 파트너십을 통해 공급망 관리의 투명성 및 안전성을 최우선으로 해 업계의 혁신을 주도해 나간다는 방침이다. 센트릭 소프트웨어 관계자는 "푸드체인 아이디와의 파트너십은 공급망의 가시성과 책임 강화를 추구하는 식품·화장품 제조업체를 지원하고자 하는 우리의 약속을 향한 중요한 단계"라며 "이번 일로 앞으로 고객에게 투명성에 대한 소비자의 요구를 충족하는 동시에 지속 가능한 경영을 촉진하는 데 필요한 툴을 제공할 수 있게 됐다"고 밝혔다.

2024.11.06 14:25장유미

[유미's 픽] 글로벌 '먹통' 유발 크라우드스트라이크·MS '위기'…SW 공급망 허점 도마 위

마이크로소프트(MS) 클라우드 서비스 장애를 유발해 세계를 마비시킨 사이버 보안 기업 크라우드스트라이크가 위기에 빠졌다. 피해나 규모면에서 '역대 최악의 IT 대란'이라는 평가와 더불어 복구가 몇 주 걸릴 것이란 예측 속에 보안·소프트웨어(SW) 기업들의 공급망 관리에 대한 문제점도 제기됐다. 20일 뉴욕증권거래소(NYSE)에 따르면 크라우드스트라이크 주가는 지난 19일(현지시간) 전일 대비 11.10% 하락한 304.96달러에 거래를 마쳤다. 장중 한 때 낙폭을 15% 이상까지 늘렸다가 소폭 만회했다. 이날 MS 주가 역시 전일 대비 0.74% 떨어졌다. 반면 경쟁사 팔로알토 네트웍스 주가는 2.16% 올랐다. 동종업체 센티넬원 주가도 7.85% 급상승했다. 두 업체의 주가가 하락세를 보인 것은 크라우드스트라이크가 보안 소프트웨어를 업데이트하는 과정에서 MS 운영체제인 '윈도'와의 충돌로 MS 클라우드 서비스에 차질이 빚어졌기 때문이다. 이 일로 항공·통신·방송·금융 등 인프라에서 전산망 장애가 발생해 업무가 마비되며 곳곳에서 혼란을 겪게 됐다. 또 리눅스 등 다른 OS도 있지만 상당수 기업들이 MS '윈도'를 서버나 PC OS로 채택하고 있다는 점에서 이번에 피해가 컸다는 분석이다. 이에 사티아 나델라 MS 최고경영자(CEO)와 조지 커츠 크라우드스트라이크 CEO는 이번 사태를 해결하기 위해 서로 협력하면서 문제를 해결해나가겠다는 입장을 밝혔지만, 해결까지 수일 혹은 몇 주가 걸릴 것이란 분석에 위기를 맞게 됐다. 나델라 CEO는 자신의 엑스(X·옛 트위터) 계정을 통해 "크라우드스트라이크가 어제 업데이트를 발표했는데, 우리는 이것이 세계 IT 시스템에 영향을 미친 문제를 인지하고 있다"며 "(MS는) 크라우드스트라이크 및 업계 전반과 긴밀히 협력해 고객 시스템을 안전하게 시스템을 복구할 수 있도록 기술 지침 및 지원을 제공하고 있다"고 전했다. 이 같은 글에 일론 머스크 테슬라 CEO는 "이로 인해 자동차 공급망에 발작이 일어났다"고 댓글로 답해 눈길을 끌기도 했다. 미국 전기차업체 테슬라 역시 이번 IT 대란 사태 여파로 일부 생산 라인이 중단됐기 때문이다. 이번 사태의 원인이 된 크라우드스트라이크 측은 사과의 뜻을 전하면서도 맥과 리눅스 등에는 영향을 받지 않았다고 설명했다. 또 이번 사건은 보안사고나 사이버 공격이 아니라는 점도 분명히 했다. 조지 컬츠 CEO는 "이번 사태로 영향을 받은 모두에게 깊이 사과드린다"며 "고객에게 지속적으로 최신 업데이트를 제공할 것"이라고 밝혔다. 이번 일로 크라우드스트라이크의 주가는 당분간 하락세를 면치 못할 것이란 전망이 나왔다. IT 대란을 유발한 만큼 향후 MS 클라우드를 쓴 고객들이 손해배상을 청구할 시 막대한 비용이 발생할 것이란 점도 우려되는 대목이다. 시가총액이 116조 원에 달하는 크라우드스트라이크의 지난 1분기 매출은 전년 동기보다 33% 늘어난 9억2천100만 달러(약 1조2천억 원), 순이익은 86배가 늘어난 428만 달러(약 59억5천만 원)를 기록한 바 있다. 투자은행 웨드부시 분석가 댄 아이브스는 "이번 사태는 크라우드스트라이크에 분명한 수치를 안겼다"며 "주가에 하방 압력이 작용할 것"이라고 관측했다. 오펜하이머 분석가 이타이 키드론은 "크라우드스트라이크 명성에 타격을 안겼다"며 "투자심리뿐 아니라 앞으로의 경영 실적에 영향을 미칠 가능성이 높다"고 전망했다. 이번 사태를 두고 업계에선 SW 공급망 관리 체계의 허점이 그대로 노출됐다고 평가했다. SW 공급망이란 소프트웨어가 개발, 배포, 설치되는 전체 과정과 일련의 활동을 뜻한다. 온라인·클라우드로 제품을 설치하고 주기적으로 제품 업데이트를 진행한다는 점에서 패키지 SW를 팔 던 예전 방식과 다소 차이가 있다. 컴퓨터를 사용할 때 프로그램들이 자동 업데이트 되는 것이 흔히 볼 수 있는 방식이다. 이 탓에 기술적 오류가 발생하거나 제3자가 해킹해 SW 업데이트를 악용할 경우 이번 사고처럼 세계 곳곳에 대혼란을 야기하며 상당한 경제적 손실을 초래할 수 있다. 또 SW 공급망 공격으로 인한 비용이 갈수록 증가하고 있는 만큼 각 기업들이 대책 마련에도 적극 나서야 할 필요가 있다는 지적도 있다. 실제 가트너가 발간한 보고서에 따르면 SW 공급망 공격으로 인한 비용은 지난해 460억 달러(약 64조 원)에서 오는 2031년 1천380억 달러(약 192조 원)로 증가할 전망이다. 가트너는 "기업·기관이 사용하는 소프트웨어 90% 이상이 오픈소스에 종속돼 있는데 이 중 74%가 고위험군"이라며 "부적절한 보안 개발 관행으로 인해 취약점이 코드에 삽입될 확률이 높다"고 지적했다. 이어 "공격자가 개발 환경에 직접 침투해 멀웨어가 삽입된 SW가 배포되도록 하는 방법도 흔한 SW 공급망 공격"이라며 "특히 오픈소스 패키지에 멀웨어를 삽입하는 공격 빈도가 최근 들어 급증했다"고 덧붙였다. 가트너는 내년까지 전 세계 조직의 45%가 SW 공급망 공격을 경험할 것으로 내다봤다. 과학기술정보통신부와 한국인터넷진흥원(KISA) 역시 '2023년 사이버 보안 위협 분석과 2024년 사이버 보안 위협 전망'을 통해 올해 주요 사이버 위협 중 첫 번째로 SW 공급망 공격을 꼽았다. 블룸버그통신은 "이번 사태와 같은 치명적인 장애는 글로벌 공급망에 대한 위협이 점점 더 심각해지고 있음을 보여준 것"이라며 "전 세계에서 가장 크고 중요한 일부 산업의 IT 시스템이 상태적으로 잘 알려지지 않은 소수의 SW 공급업체에게 크게 의존해왔다는 점이 문제"라고 지적했다. 업계 관계자는 "SW 공급망 문제를 해결하기 위해 개별 기업·기관의 보안 노력은 물론 정부와 업계에서도 대안 마련에 적극 나설 필요가 있다"며 "일시적이거나 단편적인 취약점 제거로는 공급망 전반의 위험을 낮출 수 없기 때문에 공급망에 관계되는 모든 조직이 함께 문제를 해결해야 한다"고 밝혔다. 가트너는 SW 공급망 전반의 리스크를 낮추기 위해 ▲큐레이트 ▲생성 ▲소비를 주축으로 한 SSCS 전략을 제시했다. 큐레이트는 보안, 라이선스, 지적재산, 공급망 위험과 관련한 종속성과 구성요소를 사전에 평가하고, 위험하거나 의심스러운 요소를 개발 과정에서 선택하지 않도록 한다. 또 오픈소스 위험을 자동으로 찾아주는 도구와 SBOM·VEX 등을 사용하는 것을 권고한다. 생성은 소프트웨어 아티팩트 보안 요구사항과 알려진 취약점 악용 가능성의 사용 시점에 소프트웨어 취약성을 평가한다. 최근 공격자들은 악성코드를 종속성에 은밀하게 삽입하고 있기 때문에 개발 파이프라인 전체에서 악의적인 코드 식별과 수정이 필요하다. 가트너는 "NIST SSDF와 같은 검증된 보안 개발사례를 채택하고 코드 개발 시 보안 내재화 접근방법에 따라야 한다"며 "SOC 혹은 제품 보안 사고 대응(PSIRT) 팀에 의한 취약점 검증을 통해 개발자 기기와 개발도구 체인 전반에서 무결성을 검증해야 한다"고 조언했다. 소비는 도입·구축 및 운영하는 전체 과정에서 위협을 식별하고 완화하는 것을 말한다. 공급업체의 보안수준을 평가하는 한편, 도입되는 소프트웨어의 구성요소와 종속성을 파악하고 목록화 해 취약성을 관리해야 한다는 의미다. 가트너는 "패키지 소프트웨어에도 악성코드가 포함돼 있어 전문적인 테스트와 평가가 필요하다"며 "공급망 프레임워크의 큐레이션, 생성, 사용 전반에서 모든 위험 요소를 고려해야 할 것"이라고 밝혔다.

2024.07.20 11:28장유미

쿤텍, SW 공급망 보안 가이드라인 준수 전용 솔루션 공개

쿤텍(대표 방혁준)이 소프트웨어(SW) 공급망 보안 가이드라인 준수 지원을 위해 전용 솔루션'이지스(AEGIS)'를 선보인다고 1일 밝혔다. 지난 5월 12일 정부는 SW 공급망 보안 강화를 위한 가이드라인 1.0을 발표했다. 이번 가이드라인은 공급망 보안의 국제 동향 및 SW자재명세서(SBOM) 활용사례 등을 포함하고 있다. 점차 범위가 확대되고 있는 SW 공급망 보안 위협 및 해외 규제와 관련된 대응방안을 마련하기 위해 제정되었다. SW공급망 보안 가이드라인은 총 4개 장으로 구성되어 있다. 대통령 직속 디지털플랫폼정부위원회의 공급망 보안 정책방향, 국내 전문가들의 연구결과, 국산 SW에 대한 SBOM 실증 및 공급망보안포럼 논의 결과, 공급망 보안 테스트베드 시범운영 및 민관 정책협의체 논의 결과를 포함하고 있다. 쿤텍은 이지스(AEGIS)를 통해 국내 기업이 해당 가이드라인을 준수할 수 있도록 지원하여 SW 공급망 보안 강화에 기여할 계획이다. 이지스는 SW 개발 생명주기(SDLC)를 기반으로 소프트웨어 공급망 전체에 존재하는 악성코드, 파일 변조 및 무결성, 보안 취약점, 라이선스 이슈 등의 전체적인 위협 사항을 효과적으로 찾아내고 관리할 수 있는 SW 공급망 보안 통합 관리 솔루션이다. 쿤텍이 다양한 대형 프로젝트를 운용하며 축적한 SBOM 추출 및 관리 기술을 기반으로 개발됐다. 공급망 보안 솔루션은 이지스-SCA, 이지스-SCM, 이지스-RMS 세 가지로 구성된다. 이지스-SCA는 외부로부터 반입된 오픈소스와 바이너리 파일에 대한 SBOM을 국제 표준 규격의 보고서(SPDX, 사이클론DX)로 생성하는 것을 지원한다. 또한, 취약점 및 라이선스 이슈를 대시보드를 통해 직관적으로 점검 결과와 현황을 파악하고, 도입사별 커스터마이징을 통해 결재/승인 프로세스를 접목시켜 손쉬운 관리가 가능하다. 이지스-SCM은 외부로부터 반입된 실행 소프트웨어에 대해 바이너리 분석을 기반으로 하여 악성코드 유입 또는 변조 가능성을 확인하고 파일을 구성하고 있는 함수를 파악해 위험한 함수를 선별하며 SPDX, json, spdx.xml 등 다양한 형식의 SBOM을 업로드한다. 이를 통해 이전 버전 파일의 SBOM을 비교함으로써 개발사, 공급사, 운영사로 이어지는 SW 공급망을 효과적으로 관리할 수 있다. 이지스-RMS는 퍼블릭 레파지토리와 고객사 내 레파지토리를 고객사에서 사용하고 있는 다양한 언어와 환경에 맞추어 커스터마이징하고 개발자 PC에서 패키지 매니저를 통해 '요청-점검-반입'의 원스톱 프로세스로 적용시켜 사내 클린 레파지토리를 구성해 관리한다. 방혁준 쿤텍 대표는 “소프트웨어 공급망 보안의 중요성이 점차 강조되면서 국내외 가이드라인에 따라 소프트웨어 보안을 관리하는 것이 필수적이지만 사실상 기업이 자체적으로 SBOM을 분석하고 이를 토대로 공급망 보안을 관리하는 것에는 한계가 있다”고 말하며 “쿤텍은 SBOM 분석을 기반으로 보안 구성요소에 대한 가시성을 확보하고 취약점까지 통합적으로 관리할 수 있는 이지스를 통해 SW 공급망의 체계적인 보안 강화에 앞장설 계획”이라고 밝혔다.

2024.07.01 15:55남혁우

"美에 반도체 투자 '달콤한 독약' 될 수도"...국내 SW 전문가의 경고

"현재 국내 산업이 해외 반도체 투자에 열을 올리고 있지만, 이는 곧 '달콤한 독약'이 될 수 있습니다. 미국으로부터 큰 규모의 지원금을 받는 순간 공급망과 관련된 여러 제약을 받게 됩니다. 때문에 어떠한 규제가 없는 핵심 산업인 소프트웨어에 하루 빨리 국내 기업과 정부가 투자를 진행해야죠." 문송천 KAIST 경영대학원 명예교수는 최근 카이스트 서울캠퍼스에서 기자와 만나 국내 IT 산업이 나아가야 할 방향에 대해 이같이 밝혔다. 문송천 교수는 '국내 전산학박사 1호'다. 24세에 숭실대학교 전산학과 교수로 부임했으며, 이후 KAIST 전산학과 교수로 자리를 옮겼다. 현재는 KAIST 경영대학원 명예교수이자 유럽IT학회 아시아 대표이사직을 맡고 있다. 특히 문 교수는 운영체제(OS), 데이터베이스(DB) 등 소프트웨어 분야의 권위자로 널리 알려져 있다. 1990년에는 한국 최초의 국산 관계형 데이터베이스 관리 시스템(RDBMS)를 개발하기도 했다. ■ "제조 산업 결국 따라잡혀…소프트웨어에 주목해야" 문 교수는 "IT 산업에서 소프트웨어와 하드웨어가 차지하는 매출 비중은 60대 40"이라며 "소프트웨어 중에서도 데이터 관련 산업이 절반을 차지하는 데, 정작 데이터를 다루는 기업의 수 자체는 적다"고 말했다. 이런 관점에서 문 교수는 국내 IT 산업이 첨단 소프트웨어 개발 및 투자에 집중해야 한다고 진단한다. 그는 "국내 반도체 산업이 2나노미터(nm) 공정 진입을 준비하는 등 선두에 있으나, 대형 설비를 갖춘 제조산업은 결국 중국이 따라잡게 될 것"이라며 "이 때를 대비해 소프트웨어를 미래의 먹거리로 삼아야 한다"고 강조했다. 현재 미국은 전체 소프트웨어 시장을 과점하고 있다. 마이크로소프트, 오라클, 구글 등이 대표적인 기업이다. 특히 마이크로소프트는 윈도우스(Windows)라는 OS를 통해 전 세계 IT 산업의 근간을 형성하고 있다. 문 교수는 국내 기관 및 기업들도 하루 빨리 OS를 자체 개발해야 한다는 시각이다. 문 교수는 "미국은 테슬라, 페이스북, 아마존 등도 자체 OS와 DB를 구축해 소프트웨어의 독립성을 높이고 있다"며 "한국도 응용 소프트웨어에만 치중하지 말고 원천기술이 되는 디지털 플랫폼을 구축할 필요가 있다"고 설명했다. ■ "미국 등 반도체 대규모 투자, 달콤한 독약 될 수도" 국내 IT 산업의 중추인 반도체 업계는 현재 미국 등 해외 투자에 집중하고 있다. 일례로 삼성전자는 지난 2022년부터 미국 테일러시에 최선단 파운드리 팹을 건설해 왔다. 지난달에는 해당 공장에 2나노 양산을 위한 생산 시설과 첨단 패키징 시설, 연구개발(R&D) 센터 등을 추가 건설하기로 했다. 이에 미국 정부는 64억 달러(한화 약 8조8천500억원)에 달하는 보조금을 지급하기로 했다. 다만 이와 관련해 문송천 교수는 "미국과 공조해 중국을 견제하는 것은 좋지만, 보조금을 받는 즉시 미국의 컨트롤 타워 하에서 공급망에 대한 지속적인 간섭을 받게 될 수 밖에 없다"며 "미국이 내건 여러 조건들을 고려하면 사실상 달콤한 독약"이라고 꼬집었다. 실제로 미국 정부는 보조금 수혜 기업들이 당초 예상보다 높은 이익을 낼 시 초과분 일부를 환수하는 조항을 내걸었다. 또한 이들 기업의 중국 내 설비투자에도 제한을 걸었다. 문 교수는 "반면 소프트웨어는 제조 산업이 아니기 때문에 이와 같은 규제를 할 수도 없고, 현재 규제가 있지도 않은 기회의 영역"이라며 "개발 시간과 역량이 많이 필요하다고 미리 포기할 게 아니라, 하루 빨리 반도체 IP(설계자산)·OS 등의 개발을 시작해야 한다"고 강조했다. ■ "생성형 AI, 업계 최대 화두지만…확대 해석 금물" IT 산업의 최대 화두인 생성형 AI에 대해서도 경고의 메시지를 전했다. 생성형 AI란 오픈AI의 '챗GPT'와 같이 텍스트, 이미지 등을 AI가 새롭게 만들어내는 기술을 뜻한다. 문 교수는 "생성형 AI가 과대 해석으로 소프트웨어 산업의 대부분의 비중을 차지하고 있다고 보여지지만, 실상은 10% 수준에 불과하다"며 "생성형 AI가 학습할 수 있는 데이터는 굉장히 제한적"이라고 지적했다. 생성형 AI가 데이터 수집에 한계를 지닌 이유는 보안 때문이다. 일반적인 정보는 인터넷을 통해 대중이 자유롭게 접근할 수 있으나, 각 기업들이 보유한 회사 운영, 임직원 등에 대한 정보는 철저한 비공개 영역이다. 개인정보와 관련한 데이터 역시 마찬가지다. 문송천 교수는 "국내 주요 IT 기업들이 생성형 AI의 유행에 앞다퉈 편승하려 하면서도, 생성형 AI의 토대가 되는 DB 엔진, OS는 여전히 외산에만 의존하려고 한다"며 "중장기적 관점에서 국내 IT 산업의 경쟁력을 확보할 수 있도록 정부가 역할을 주도해야 한다"고 재차 강조했다.

2024.06.03 15:04장경윤

지금 뜨는 기사

이시각 헤드라인

블록체인 가상자산, '입법지연·예산삭감·규제' 악순환 끊어야

[AI는 지금] 대선후보들 'AI 전쟁' 돌입…기술 주권부터 전력 인프라까지 격돌

한화 김동선 진두지휘 ‘벤슨' 뭐가 다른가…‘100% 국내산 유제품'

SKT "정보 유출 없다 '확신'...있더라도 끝까지 책임"

ZDNet Power Center