쿤텍, SW 공급망 보안 가이드라인 준수 전용 솔루션 공개
쿤텍(대표 방혁준)이 소프트웨어(SW) 공급망 보안 가이드라인 준수 지원을 위해 전용 솔루션'이지스(AEGIS)'를 선보인다고 1일 밝혔다. 지난 5월 12일 정부는 SW 공급망 보안 강화를 위한 가이드라인 1.0을 발표했다. 이번 가이드라인은 공급망 보안의 국제 동향 및 SW자재명세서(SBOM) 활용사례 등을 포함하고 있다. 점차 범위가 확대되고 있는 SW 공급망 보안 위협 및 해외 규제와 관련된 대응방안을 마련하기 위해 제정되었다. SW공급망 보안 가이드라인은 총 4개 장으로 구성되어 있다. 대통령 직속 디지털플랫폼정부위원회의 공급망 보안 정책방향, 국내 전문가들의 연구결과, 국산 SW에 대한 SBOM 실증 및 공급망보안포럼 논의 결과, 공급망 보안 테스트베드 시범운영 및 민관 정책협의체 논의 결과를 포함하고 있다. 쿤텍은 이지스(AEGIS)를 통해 국내 기업이 해당 가이드라인을 준수할 수 있도록 지원하여 SW 공급망 보안 강화에 기여할 계획이다. 이지스는 SW 개발 생명주기(SDLC)를 기반으로 소프트웨어 공급망 전체에 존재하는 악성코드, 파일 변조 및 무결성, 보안 취약점, 라이선스 이슈 등의 전체적인 위협 사항을 효과적으로 찾아내고 관리할 수 있는 SW 공급망 보안 통합 관리 솔루션이다. 쿤텍이 다양한 대형 프로젝트를 운용하며 축적한 SBOM 추출 및 관리 기술을 기반으로 개발됐다. 공급망 보안 솔루션은 이지스-SCA, 이지스-SCM, 이지스-RMS 세 가지로 구성된다. 이지스-SCA는 외부로부터 반입된 오픈소스와 바이너리 파일에 대한 SBOM을 국제 표준 규격의 보고서(SPDX, 사이클론DX)로 생성하는 것을 지원한다. 또한, 취약점 및 라이선스 이슈를 대시보드를 통해 직관적으로 점검 결과와 현황을 파악하고, 도입사별 커스터마이징을 통해 결재/승인 프로세스를 접목시켜 손쉬운 관리가 가능하다. 이지스-SCM은 외부로부터 반입된 실행 소프트웨어에 대해 바이너리 분석을 기반으로 하여 악성코드 유입 또는 변조 가능성을 확인하고 파일을 구성하고 있는 함수를 파악해 위험한 함수를 선별하며 SPDX, json, spdx.xml 등 다양한 형식의 SBOM을 업로드한다. 이를 통해 이전 버전 파일의 SBOM을 비교함으로써 개발사, 공급사, 운영사로 이어지는 SW 공급망을 효과적으로 관리할 수 있다. 이지스-RMS는 퍼블릭 레파지토리와 고객사 내 레파지토리를 고객사에서 사용하고 있는 다양한 언어와 환경에 맞추어 커스터마이징하고 개발자 PC에서 패키지 매니저를 통해 '요청-점검-반입'의 원스톱 프로세스로 적용시켜 사내 클린 레파지토리를 구성해 관리한다. 방혁준 쿤텍 대표는 “소프트웨어 공급망 보안의 중요성이 점차 강조되면서 국내외 가이드라인에 따라 소프트웨어 보안을 관리하는 것이 필수적이지만 사실상 기업이 자체적으로 SBOM을 분석하고 이를 토대로 공급망 보안을 관리하는 것에는 한계가 있다”고 말하며 “쿤텍은 SBOM 분석을 기반으로 보안 구성요소에 대한 가시성을 확보하고 취약점까지 통합적으로 관리할 수 있는 이지스를 통해 SW 공급망의 체계적인 보안 강화에 앞장설 계획”이라고 밝혔다.