검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'이희조'통합검색 결과 입니다. (4건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

래브라도랩스, 美서 SW공급망 자동관리플랫폼으로 주목 받아

래브라도랩스(대표 김진석 이희조)가 미국 사이버보안·인프라보호청(CISA)이 주최하는 글로벌 소프트웨어 공급망 보안 행사 'SBOM-a-Rama'에서 'SW 공급망 자동관리플랫폼'을 소개했다. CISA는 국토안보부에 소속돼 미국 사이버 보안을 총괄하는 기관이다. 소프트웨어 공급망 보안 강화를 위해 SBOM-a-Rama 행사를 개최했다. CISA는 올해 처음 소프트웨어구성명세서(SBOM) 관련 전시회도 함께 열었다. 소프트웨어 공급망 전문 기업 래브라도랩스는 한국 기업으로 유일하게 이 행사에서 발표와 전시에 참여했다. CISA는 9월 11일부터 12일(현지시각)까지 이틀간 콜로라도주 덴버 애슬래틱 클럽(Denver Athletic Club)에서 행사를 개최했다. 첫째 날에는 전 세계 소프트웨어 커뮤니티에서 SBOM 관련 발표가 이어졌다. 둘째 날에는 SBOM 솔루션 쇼케이스가 진행됐다. 래브라도랩스는 SBOM 생성은 물론이고 검증, 교환까지 소프트웨어(SW) 공급망 보안을 손쉽게 관리하는 플랫폼 '래브라도 SCM'과 소프트웨어 구성 분석(SCA)' 솔루션을 전시, 발표했다. 래브라도 SCM은 SW 공급망에 관여하는 모든 기업의 SBOM 생성, 보내기, 받기, 상호 확인, 수정 보완 등 일련의 과정을 자동화한 솔루션이다. 래브라도 SCM은 SW 유통 과정에서 취약점을 사전에 점검해 안전한 SW로 보완하는 것은 물론이고 SBOM 수작업 생성 및 교환에 따른 업무 비효율성 개선하는 획기적인 서비스다. 이미 글로벌 제조 대기업과 의료기기 기업 등이 '래브라도 SCM'을 도입, 소프트웨어 공급망 보안 규제 대응을 시작했다. 래브라도랩스는 협력사를 위한 오픈소스 취약점 및 라이선스 컴플라이언스 위험 제거 도구 '소프트웨어 구성 분석(SCA)' 솔루션도 선보였다. 래브라도랩스는 미국 캘리포니아 세크라멘토에 사무실을 열고 글로벌 시장을 공략하고 있다. 김진석 래브라도랩스 대표는 “기업들은 SBOM 생성 후에 나타나는 소프트웨어 취약점 등을 처리하기 어려운데 래브라도랩스의 코드레벨 3레이어 분석 등으로 이를 해결할 수 있다"면서 “이번 행사에서 SBOM 공급망 생태계를 구성하는 제품으로 주목받았다"고 말했다.

2024.09.13 16:30김인순

고려대 SW보안연구소, '제8회 IoTcube 컨퍼런스' 개최

고려대 SW보안연구소(CSSA, 연구소장 이희조)가 27일 '아이오티큐브 컨퍼런스(IoTcube Conference 2024)'를 고려대 하나스퀘어에서 개최한다. 올해로 8회를 맞이하는 컨퍼런스는 한국·미국·영국·스위스 4개국 공동연구로 2016년 시작했다. '보안취약점 자동분석 플랫폼 IoTcube.net' 기술 최신 현황을 소개하고 응용 사례를 공유하는 행사다. 2024년에는 공급망 보안 기술 경험에 대한 국내외 전문가 특별 강연을 시작으로, 소프트웨어자재명세서(SBOM) 생성을 직접 체험하는 트레이닝 세션까지 마련됐다. 오전 세션은 리눅스 재단 산하 오픈소스 보안재단(OpenSSF) 이사회 멤버인 마이클 리버만(Michael Lieberman) 쿠사리(Kusari) CTO와 김유승 삼성전자 상무의 공급망 보안 특별 강연으로 시작된다. 오후 세션은 'SBOM 기술 최신 연구' 성과 공유 및 고려대 융합보안대학원 컨소시엄 기업 '융합보안 기술 사례', 두 가지 트랙이 준비됐다. 'SBOM 기술 최신 연구' 트랙에서는 고려대, 한국과학기술원(KAIST)의 SBOM 기술 최신 연구 성과와 한국인터넷진흥원(KISA) 공급망 보안 정책 동향을 돌아볼 예정이다. 산학관 전문가들이 공급망보안 제도와 SBOM 보편화 대비 방안을 논의하는 패널 토의가 이어진다. '융합보안 기술 사례' 트랙에서는 KT, 아우토크립트 등 고려대 융합보안대학원 컨소시엄 기업들이 연사로 나서, 네트워크 공격 동향 및 대응 방안, 자동차 사이버보안 기술과 규제 현황 등을 공유한다. 컨퍼런스에는 KMS테크놀로지의 블랙덕(Black Duck) 도구, 래브라도랩스의 래브라도 스캐너 도구, 고려대학교의 햇봄(HatBOM) 도구를 활용한 SBOM 실습 트레이닝 세션이 마련돼 있다. 해외 수출과 SBOM 대비가 필요한 제조기업 등을 중심으로 소규모 팀 트레이닝을 진행할 예정이다. 이희조 고려대 교수는 "SBOM 제도화 대응이 필요한 기업 담당자들이 직접 SBOM 생성을 체험해볼 수 있도록, 국내외 도구를 실습하는 트레이닝 세션을 마련했다"며 "SBOM과 융합보안 기술 사례, 패널토의까지 다양한 프로그램을 통해 보안 고민을 나누고 함께 해결책을 찾아보는 시간이 되기를 바란다"고 개최 소감을 전했다. 이번 컨퍼런스는 과학기술정보통신부·정보통신기획평가원(IITP)의 정보보호핵심원천기술개발사업 및 정보통신방송혁신인재양성사업 연구결과로 수행되며 고려대 소프트웨어보안연구소(CSSA), 융합보안대학원(융합보안핵심인재양성사업단), 4단계 BK21 컴퓨터학교육연구단, 소프트웨어중심대학사업단이 공동 주최한다.

2024.08.09 08:50김인순

고려대 융합보안대학원-서울TP, 스마트팩토리 보안 인재 양성

고려대와 서울테크노파크가 스마트팩토리 보안 인재 양성을 위해 손을 잡았다. 고려대 융합보안핵심인재양성사업단(단장 이희조, 이하 융합보안대학원)과 (재)서울테크노파크(원장 윤종욱, 이하 서울TP)는 13일 스마트팩토리 보안 인재 양성을 위한 교육 운영 협력 업무협약을 체결했다. 이번 협약을 통해 양 기관은 ▲선도형 스마트공장 구축지원 사업 ▲기업의 AI도입 및 디지털 전환 지원 ▲보안 분야 연구 협력 ▲지원 인프라 공유 ▲인재 양성 교육 등에 협력할 예정이다. 고려대학교 융합보안대학원은 보안 분야 협력을 위해 디지털 플랫폼 얼라이언스(DPA)에 참여한다. DPA는 서울TP에서 운영하는 지산학연 협의체다. 지역 제조혁신 정책 어젠다 발굴과 기업 지원을 위해 현재 7개 기관(서울TP, 서울스마트제조혁신추진위, 한국공학대학교, LG유플러스, LS일렉트릭, SK C&C, SCI평가정보)이 참여하고 있다. 이희조 고려대 융합보안대학원 주임교수는 "이번 서울테크노파크와 MOU를 통해 스마트팩토리 보안 연구와 기업 디지털 전환 지원에 협력한다"면서 "학생들에게는 첨단산업 경험을 제공하여 융합보안 핵심 인재 육성 위해 노력하겠다"고 말했다. 고려대 융합보안대학원은 스마트팩토리 등 디지털 트랜스포메이션 혁신이 진행 중인 산업분야의 보안 인재 육성을 위해 2019년 과학기술정보통신부의 지원을 받아 개설됐다. 고려대 내 모집 학과 정식 명칭은 '일반대학원 컴퓨터학과 컴퓨터보안전공'이다.

2024.02.14 13:11김인순

美, 소프트웨어 공급망 보안 규제 현실화

미국의 소프트웨어(SW) 공급망 보안 규제가 올해 본격화한다. 소프트웨어 개발사는 물론이고 의료기기, 사물인터넷(IoT) 기기 등 각종 기기 제조사까지 여파가 예상돼 대응이 시급하다. 미국 바이든 행정부는 지난 2021년 5월 SW 공급망 보안을 강화하는 행정명령(EO 14028)을 발표했다. 이후 백악관 예산관리국(OMB)은 SW 공급망 보안 강화에 관한 M-22-18이라는 문서를 내놨다. 이 문서에 따르면 미국 정부에 SW를 판매하는 기업은 국립표준원(NIST)이 만든 '보안 소프트웨어 개발 프레임워크(SSDF)'를 준수해야 한다. 올해부터 정부기관과 계약하는 기업은 반드시 제품이 SSDF를 준수했다는 증명을 제공해야 한다. 이희조 고려대 컴퓨터학과 교수는 "올해가 사실상 미국 SW 공급망 보안 규제가 기업에 직접 적용되는 시점"이라며 "의료기기를 비롯해 자동차, 각종 제조업과 관련된 2, 3차 협력 기업이 SW 공급망 보안 규제에 관심을 기울여야 한다"고 말했다. 이어 "중소중견 협력사가 보안을 고려한 개발에 준비가 안되면 이를 포함한 제품을 만든 대기업 수출에 영향을 받을 수 있다"면서 "문제는 SSDF와 SBOM(SW Bill of Materials) 관리는 담당조직과 프로세스가 필요해 준비에 상당 기간이 걸린다"고 말했다. 미국 정부는 2021년 행정명령 후 기업이 안전하게 SW를 개발하는 프로세스를 만들고 이를 체계화하는 방법론을 제시하는데 주력했다. 행정명령 후 미국 기업들이 관련 프로세스를 만들고 체계화하는 작업을 도왔다. 미국 규제는 ▲자기증명 요건(Self-Attestation Requirement) ▲펌웨어 포함(Firmware Inclusion) ▲제품 보안에 대한 공급업체의 책임(Vendor Responsibility for Product Security) 등으로 요약할 수 있다. SW개발사는 미국 정부기관에 제품을 공급할 때 NIST 가이드라인을 준수하는지 확인해야 한다. 일부 기관은 시스템 중요도에 따라 제3자 평가를 요구할 수도 있다. 미국 정부는 SW에 대한 안전한 개발 프로세스 뿐만 아니라 라이브러리에 쓰인 오픈소스 구성 요소까지 모두 출처를 밝히고 안전성을 입증하라고 요구한다. 기업은 다양한 오픈소스 SW를 이용해 애플리케이션을 개발하고 하드웨어에 탑재한다. 이 과정에 들어간 오픈소스에 취약점이 없는지 모두 점검해야 한다. SW 개발에 활용되는 모든 정보를 담은 명세서 'SBOM'를 작성, 제출해야 한다. 해당 규제는 펌웨어, 운영체제, 애플리케이션 등을 모두 포괄한다. 하드웨어에 들어가는 펌웨어도 반드시 가이드라인을 준수해야 한다. 미국 정부기관에 납품하는 기업은 제품 수명 주기 전반에 걸쳐 SW 취약성과 업데이트를 확인해야 한다. 이를 준수하지 않으면 제재를 받는다. 문제는 한국 기업 준비도다. 미국 정부가 요청하는 SSDF와 SBOM을 준비하려면 관련 조직과 프로세스를 갖춰야 한다. 그나마 대기업은 조직을 정비했지만 2,3차 협력 회사들이 이에 대한 준비가 미흡하다. 이같은 조치는 SW 공급망에 대한 사이버 위협 증가 때문이다. 2020년 미국 IT 관리 소프트웨어 및 원격 모니터링 도구 회사인 솔라윈즈(SolarWinds) 제품이 해킹에 악용됐다. 당시 솔라윈즈 제품을 사용한 정부기관이 사이버 공격에 그대로 노출됐다. 해커는 솔라윈즈 제품의 SW취약점을 이용해 해당 제품을 쓰는 기업 내부로 침투했다. SW 공급망 공격은 한 번 성공하면 다양한 조직이나 기업으로 침투하는 통로가 된다. 기존 악성코드 공격보다 탐지가 어렵다. 해커는 침투하고자 하는 기업이나 기관이 사용하는 소프트웨어 등의 취약점을 활용해 측면으로 공격한다. 김형섭 고려대 소프트웨어보안연구소 연구기획팀장은 "미국 식품의약품안전청(FDA)은 의료기기 기업에게 사이버 보안과 관련된 SBOM을 요구했다"면서 "서드파티(3rd party) 소프트웨어에 대한 보안 가시성과 투명성에 대한 대처 가이드까지 요청하는 상황"이라고 설명했다. 미국 공급망 보안 기업 이클립시움 달튼 탄(Dalton Tan) 시니어 디렉터는 "SW 보안성 증명은 단순히 애플리케이션뿐만 아니라 하드웨어에 내장된 펌웨어도 포함된다"면서 "미국으로 장비와 기기 수출이 많은 한국기업은 이에 대한 대비가 시급하다"고 말했다.

2024.01.16 15:33김인순