검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'SBOM'통합검색 결과 입니다. (16건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

스패로우, SBOM도구에 AI 입혔다…코드 자동 생성

애플리케이션 보안 기업 스패로우(대표 장일수)가 소프트웨어(SW) 공급망 보안에 필요한 소프트웨어 자재 명세서(SBOM·Software Bill of Materials)에 인공지능(AI) 기능을 더했다고 밝혔다. 장일수 스패로우 대표는 22일 서울 여의도 페어몬트앰버서더호텔에서 열린 고객 초청 사업 설명회 '파수 디지털 인텔리전스 심포지움(FDI)'에서 이같이 발표했다. 스패로우는 파수 자회사다. 장 대표는 “AI 기능을 가진 제품을 곧 출시하겠다”며 “코드를 자동으로 만들고, 정탐율을 최고로 끌어올리고, 어떤 취약점부터 우선 조치할지 우선순위 매기고, 취약점을 설명하는 보고서를 자동으로 쓰는 기능을 갖췄다”고 말했다. 장 대표는 “SBOM을 '생성-보강-검증-공유-검토'하는 단계로 관리해야 한다”며 “사람이 하나하나 손보려면 비효율적이라 도구가 필요하다”고 설명했다. 그러면서 '스패로우 엔터프라이즈'를 소개했다. 장 대표는 “SBOM을 만들어 등록하고 공유하면서 관리해야 한다”며 “스패로우는 한 번 만들고 끝나는 게 아니라 지속적으로 상호 검토해 새로운 취약점이 나오면 운영자와 개발자에게 알려 빠르게 조치하도록 돕는다”고 강조했다. 그는 “침해 사고가 아예 안 일어날 수는 없다”며 “어제 취약점이 아니었던 게 오늘은 취약점이 될 수 있으니 계속 관리해야 한다”고 주장했다. 또 “스패로우는 데이터에 기반해 알맞은 수정 방안을 제시한다”며 “문제 유형을 자동으로 나누고, 사람 실수와 반복 작업을 최소화하도록 지원한다”고 했다. 장 대표는 효율적으로 투자하는 법도 귀띔했다. 그는 “생성하려면 대량언어모델(LLM)을 써야 한다”면서도 “분류하는 데에는 기존 머신러닝과 딥러닝으로 충분해 보안과 비용 문제를 해결할 수 있다”고 언급했다. 이어 “모든 이해관계자가 참여해 능동적이고 적극적으로 대응하는 게 공급망 보안”이라며 “한 개인이나 기업 문제가 아니다”라고 덧붙였다.

2025.04.23 11:55유혜진

SBOM 보안 규제·공급망 과제당 3.75억 지원

소프트웨어 자재 명세서(SBOM·Software Bill of Materials)를 쓰려는 기업은 작성 및 취약점 개선하는 데 지원받을 수 있다. 한국인터넷진흥원(KISA)은 31일 SBOM 지원 사업을 한다고 밝혔다. 디지털 상품을 개발하는 기업 가운데 해외 규제 대응 6개 과제, 공급망 위협 대응 2개 과제에 과제당 3억7천500만원까지 준다. SBOM 쓰기를 돕고, SBOM 쓰고도 남은 위협을 조치할 수 있는 설비를 구축하도록 돕는다. 소프트웨어 구성 분석(SCA) 도구와 서버·데이터베이스(DB)를 갖추고 운영하는 기술 등도 포함한다. 참여하려는 기업은 다음 달 21일까지 KISA 전자계약시스템에서 접수하면 된다. 이동화 KISA 공급망안전정책팀장은 “상품에 숨은 위협을 출시 전 SBOM으로 알아채 예방할 수 있다”며 “출시하고도 새로 생기는 위협을 추적해 빠르게 관리할 수 있다”고 말했다. 공급망(Supply chain)이란 설계·개발·유통·판매·이용·개선·폐기 등 모든 단계를 포괄하는 개념이다. 공급망이 디지털로 전환되면서 해킹을 비롯한 보안 위협이 커졌다. 이 팀장은 “2020년 12월 미국에서 정보기술(IT) 관리 소프트웨어 업체 솔라윈즈가 해킹당해 소프트웨어 배포 시스템에 악성 코드가 설치됐다”며 “고객 1만8천명이 총 350만 달러(약 40억원) 피해를 봤다”고 전했다. 이후 미국은 개발·공급 기업이 소프트웨어를 안전하게 개발했는지 스스로 증명해 최고경영자(CEO)가 서명한 결과를 사이버보안·인프라보안국(CISA)에 내도록 했다. 지난해 9월에는 국가 안보 위험 규칙을 제정했다. 중국·러시아와 관련된 자율주행 시스템을 탑재한 자동차를 미국에서 수입하거나 팔지 못한다.

2025.03.31 12:00유혜진

美, 중·러 저격 '커넥티드카' 최종규칙 발표…업계 부담 완화

미국 상무부 산업안보국(BIS)은 14일(현지시간) 중국·러시아의 커넥티드카로 발생하는 국가안보 위험으로부터 미국을 보호하기 위해 커넥티드카 최종규칙을 발표했다. 이번 최종규칙은 중국 또는 러시아 관련 기업 등에서 설계·개발·제조·공급하는 커넥티드카 부품·SW 등이 탑재된 자동차의 미국 내 판매·수입을 금지하는 내용이다. 규제 대상 커넥티드 기술은 차량연결시스템(VCS)과 자율주행시스템(ADS)이다. VCS는 셀룰러 통신 등을 활용해 차량을 외부와 연결하는 시스템이다. ADS는 운전자가 운전하지 않고 차량이 독립적으로 작동하는 시스템을 지칭한다. 소프트웨어는 2027년 모델부터, 하드웨어는 2030년 모델부터 규제가 적용된다. 차량제작사(OEM) 등은 미국내 차량 판매를 위해서는 모델별로 BIS에 '적합성 신고'를 해야 하고, 매년 해당 신고가 여전히 유효하다는 확인서를 제출해야 한다. 이 신고를 위해 차량 제조사 등은 소프트웨어자재명세서(SBOM)를 BIS에 제출할 필요는 없지만, 10년 동안 SBOM 기록을 보관해야 한다. 우리 정부는 미국 정부가 커넥티드카 규칙 제정을 사전 통지한 지난해 초부터 업계 간담회 등을 통해 업계 의견을 지속 수렴했고, 미 상무부에 정부 의견서를 제출, 미국 정부와 긴밀히 협의해왔다. 이번 최종규칙은 ▲규제 범위 축소 ▲정의 명확화 ▲SBOM 제출 의무 완화 등 우리 정부가 제출한 의견이 대부분 반영돼 업계 부담이 상당 부분 해소된 것으로 평가했다. 정부는 동 최종규칙을 업계와 함께 면밀히 분석·소통하고, 영향을 최소화하기 위해 규제대상 부품 공급망 다변화, SBOM 체계 구축 등을 지원한다. 미 측과 동 최종규칙 이행을 위한 협력 등도 차질없이 진행할 계획이다.

2025.01.15 15:37김윤희

"스마트선박 보안 기술 진화"…쿤텍, SBOM 활용 취약점 분석 프로세스 설계

스마트선박 보안 기술이 한 단계 더 진화한다. 쿤텍이 소프트웨어 자재 명세서(SBOM) 기반 취약점 분석 프로세스를 설계하며 스마트선박 사이버 위협 탐지와 대응 역량을 강화했기 때문이다. 쿤텍은 현재 과학기술정보통신부와 정보통신기획평가원이 주관하는 '스마트선박 국제 규정 대응을 위한 핵심 보안 기술 개발' 과제를 수행 중이라고 13일 밝혔다. 이번 과제는 사이버 복원력 모델을 기반으로 선박 생애주기 전체를 아우르는 보안 플랫폼을 설계하는 것을 목표로 한다. 쿤텍은 1차년도 연구에서 선박 설계, 건조, 운영, 관리 등 전 생애주기에 걸친 절차를 통합한 관리 플랫폼을 개발했다. 이를 통해 사이버 복원력 모델을 활용한 위협 탐지와 대응 체계를 설계하고 취약점 점검 프로세스를 마련했다. 특히 SBOM을 활용해 선박 전체 구성요소의 가시성을 확보한 점이 이번 기술의 특징이다. SBOM 기반 정보는 선박 내외부 네트워크를 모니터링하며 보안 위협을 사전에 탐지하고 대응 전략을 강화할 수 있도록 돕는다. 쿤텍은 스마트선박 기자재의 취약점 점검부터 통합 보안 관제 플랫폼 구축까지 기술적 디테일을 확보해 글로벌 경쟁력을 높인다는 계획이다. 이 플랫폼은 자율선박의 등장에 대비해 보안 신뢰성을 강화하는 데 중요한 역할을 할 전망이다. 김성환 쿤텍 AIA사업팀 이사는 "스마트선박이 자율선박으로 발전하면서 사이버 보안 기술의 중요성이 더욱 커지고 있다"며 "선박 전 생애주기에 적용 가능한 사이버 복원력 플랫폼을 구축해 글로벌 시장에서 기술력을 선도하겠다"고 밝혔다.

2024.12.13 15:07조이환

잇따른 글로벌 IT '먹통'에 SW 공급망 보안 중요성 ↑…내년에 주목할 솔루션은?

올해 크고 작은 개인정보보호 이슈가 우후죽순 쏟아진 가운데 미국 크라우드스트라이크의 전산 마비 등 대형 사건들로 인해 소프트웨어(SW) 공급망 보안 중요성이 더 주목 받게 된 것으로 나타났다. 내년에는 악성코드 및 보안 취약점을 선제적으로 차단하고 대응할 수 있는 솔루션이 주된 관심사로 떠오를 것이란 전망도 나온다. 4일 소만사가 발표한 '2024년 발생한 주요 개인정보보호 7대 이슈'로는 ▲크라우드스트라이크 발(發) 전산마비 사태 ▲금융권 망분리 규제 개선안 발표 ▲공공기관 다층보안체계(MLS) 전환 발표 ▲페이스북(메타) 216억원 과징금 처벌 ▲개인정보유출 과징금 전체매출 3% 부과 처분 ▲개인정보의 안전성 확보조치 기준 안내서 발간 ▲SBOM(소프트웨어 자재명세서)과 오픈소스 취약점 점검 투자 강화 등이 꼽혔다. 이 중 올 한 해 가장 크게 이슈가 된 것은 미국 보안기업 크라우드스트라이크에서 시작된 전 세계 전산마비 사태다. 이는 올해 소프트웨어 공급망 전산 사고의 대표적인 사례로, 크라우드스트라이크의 '팰컨 센서' 업데이트 버전이 MS 클라우드 서비스 '애저(Azure)'와 충돌하면서 발생했다. 이로 인해 전 세계 항공, 금융, 행정, 의료 방송 등 2만9천 곳의 업무가 마비됐으며 피해 규모는 최소 10억 달러(한화 약 1조4천억원)로 추산됐다. 이후 크라우드스트라이크는 지난 9월 미국 의회 청문회에 소환돼 공식 사과했다. 델타항공은 크라우드스트라이크를 상대로 올해 10월 5억 달러(한화 약 6천500억원) 규모의 손해배상 소송을 제기했다. 금융권 망분리 개선안 발표도 많은 이들의 관심을 끌었다. 금융당국은 최근 금융기관의 생성형 인공지능(AI) 활용과 서비스형 소프트웨어(SaaS) 이용 범위 확대를 발표한 상태다. 이에 따라 금융기관은 안전한 활용을 실현할 수 있도록 접속 단말의 보안을 강화해야 한다. 업무상 허용된 단말로만 해당 서비스를 활용할 수 있도록 통제해야 하며 단말과 생성형 AI, SaaS 서비스 간 감사로그를 확보해야 한다. 또 단말과 SaaS 서비스 간 개인정보 및 신용정보 전송 등 이상행위를 통제해 조직 생산성 향상과 IT 신기술 부작용을 최소화 할 수 있어야 한다. 공공기관 대상 다층보안체계(MLS) 망분리 개선 로드맵도 주요 이슈로 급부상했다. 정부는 최근 사이버 안보정책방향을 공개했는데, 중요도에 따라 개인정보를 차등적으로 통제하는 다층보안체계 로드맵과 인터넷 단말에 생성형 AI, 업무용 소프트웨어, 인터넷 사용을 점진적으로 확대하는 계획을 발표했다. 해당 계획은 2025년 초까지 시범사업 수행 후 확대 적용될 예정이다. 페이스북을 운영하는 메타가 개인정보보호위원회로부터 216억원의 과징금을 부과 받은 것도 업계의 이목을 끌었다. 개인정보위는 페이스북이 국내 98만 명 이용자를 대상으로 종교, 정치, 동성과의 결혼여부 등 민감정보를 수집한 데다, 수집된 정보를 4천여 광고주를 통해 동성애, 트랜스젠더, 북한이탈주민 등 민감한 주제로 타깃광고에 이용했다는 점을 이유로 이 같이 조치했다. 이번 과징금 부과는 2020년 67억원 과징금 부과 이후 다섯 번째 제재로, 개인정보보호법 위반으로 누적 합산된 페이스북의 과징금은 현재 약 729억원이다. 개인정보 유출 과징금을 전체 매출에서 3% 부과하는 처분이 시작되면서 많은 기업들이 긴장감을 드러내기도 했다. 특히 220만 명 개인정보 유출사고가 발생한 골프 관련 기업인 G사에 과징금 75억원이 부과돼 크게 주목 받기도 했다. 지난 2023년 9월 개인정보보호법에서 개정된 '전체매출 3% 과징금 부과' 규정 첫 적용 사례였기 때문이다. 기존법령에 따라 개인정보가 유출됐어도 안전성 확보에 필요한 조치를 다 한 경우에는 처벌을 면할 수 있다. 그러나 G사는 개인정보 유출통제 기술적 보호조치 미흡, 주민등록번호처리 및 파기의무를 위반해 이 같은 과징금을 처벌 받았다. 지난 2023년 9월 개정 이후 변경 내용을 반영한 '개인정보의 안전성 확보조치 기준 안내서'도 올해 발간돼 기업들에게 많은 도움이 됐다. 이번 안내서에서는 FTP, 백업서버 등 공용 파일처리시스템을 개인정보 처리시스템으로 분류했다. 또 클라우드 컴퓨팅 서비스 기반의 개인정보 처리시스템도 기술적 보호조치 대상임을 명시했다. 크리덴셜 스터핑 공격을 이용한 홈페이지 해킹사고를 개인정보 유출사고 범위에 포함해 개인정보보호법의 적용을 받는 기업과 기관은 해당 규정을 준수할 수 있도록 기술적 보호조치를 취하도록 안내한 것도 특징이다. 소프트웨어 자재명세서(SBOM)와 오픈소스 취약점 점검을 위해 투자 활동이 강화된 것도 올해 주요 이슈였다. 이는 지난 2월 리눅스(Linux) XZ 유틸(Utils) 백도어를 시작으로 7월 크라우드스트라이크, 11월 세일즈포스 전산마비 등 소프트웨어 공급망 관련 전산사고가 지속적으로 발생한 것이 큰 영향을 줬다. 이에 과기정통부는 'SW 공급망 보안 가이드라인'을, 금융보안원은 '금융회사대상 SW공급망 자율점검 체크리스트'를 공개하며 공급망 보안에 집중하고 있다. 소만사 관계자는 "바이든 정부에 이어 트럼프 정부도 공급망 보안 위험관리 대표방안인 SBOM을 강화할 것으로 전망된다"며 "국내 정부도 SW 수출 활성화를 위해 SBOM 의무화를 가속화할 것으로 예상한다"고 말했다. 그러면서 "올해는 개인정보보호법 개정에 따른 수십~수백억원대 과징금 부과 처분 시작, 공공·금융기관 망분리 환경개선 로드맵을 통한 IT 신기술 적용 등 보안규제의 변화가 다방면에서 시작된 해"라며 "달라진 업무환경과 변화된 컴플라이언스에 부합하는 솔루션을 지속적으로 개발, 안정화시켜 보안위협으로부터 정보자산을 안전하게 지킬 수 있도록 노력하겠다"고 덧붙였다.

2024.12.04 17:00장유미

이글루코퍼레이션, 아스트론시큐리티에 지분 투자…이유는?

이글루코퍼레이션이 클라우드 보안 전문기업과 손잡고 신사업 확장에 속도를 낸다. 이글루코퍼레이션은 클라우드 보안 전문기업 아스트론시큐리티와 전략적 지분 투자 계약을 체결했다고 20일 밝혔다. 이번에 인수한 지분은 4.9%로, 7억원을 투자했다. 아스트론시큐리티는 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP) 솔루션 개발 기술과 더불어 공공 분야에 특화된 클라우드 네이티브 보안 컨설팅 역량을 보유하고 있는 기업이다. CNAPP은 단일 솔루션에서 클라우드 보안 형상관리(CSPM), 클라우드 계정 및 권한 보안 (CIEM), 클라우드 워크로드 보안 (CWPP)을 통합 제공하고 위험의 우선순위를 판별하는 보안 기술이다. 이글루코퍼레이션은 이번 투자를 시작으로 양사 간 기술적 교류를 확대하며 신규 클라우드 보안 사업 기회를 발굴할 전략이다. 또 고유의 솔루션 개발·구축·운영 경험 및 보안관제 노하우를 토대로 온프레미스-클라우드를 아우르는 보안 플랫폼에 다층보안체계(MLS), 클라우드 네이티브, 제로 트러스트, 소프트웨어 공급망 명세서(SBOM) 등 신 보안체계를 적용하며 업무 환경의 효율성과 안정성을 높일 방침이다. 이득춘 이글루코퍼레이션 대표는 "전 세계적으로 모든 산업에서 클라우드가 기업 성장을 위한 핵심 기반 기술로 자리 잡은 만큼, 클라우드 보안의 중요성은 아무리 강조해도 지나치지 않다"며 "독보적인 CNAPP 기술력을 보유한 아스트론시큐리티와 함께 클라우드 보안 역량을 강화하며 클라우드 신사업 확장에 속도를 붙이겠다"고 밝혔다.

2024.11.20 10:02장유미

美 트럼프 귀환에 보안시장 '들썩'…韓 기업에 기회될까

밀키트는 손질된 식재료와 양념을 알맞게 담은 간편식입니다. 누구나 밀키트만 있으면 별도 과정 없이 편리하게 맛있는 식사를 할 수 있습니다. [김미정의 SW키트]도 마찬가지입니다. 누구나 매일 쏟아지는 소프트웨어(SW) 기사를 [김미정의 SW키트]로 한눈에 볼 수 있습니다. SW 분야에서 가장 주목받는 인공지능(AI), 보안, 클라우드 관련 이야기를 이해하기 쉽고 맛있게 보도하겠습니다. [편집자주] 도널드 트럼프 공화당 후보가 미국 대통령 선거에서 재선된 가운데 국내 보안업계가 촉각을 곤두세우고 있다. 8일 업계에 따르면 트럼프 정부는 미국 사이버 보안 정책 틀을 크게 바꾸지 않을 것으로 전망된다. 사이버 보안 강화는 공화당·민주당 모두 주요 전략으로 채택하고 있기 때문이다. 다만 그동안 거론됐던 국토안보부와 사이버보안 및 인프라 보안국(CISA) 해체, 사이버 부대 창설 가능성은 트럼프 후보 당선 이후에도 나오고 있다는 점에서 업계가 주목하고 있다. 또 국내에선 보안 기업이 무역 관세 영향을 받아 어려움에 처할 수 있다는 추측이 나왔다. 트럼프 당선인이 모든 수입품에 대한 관세를 대폭 올리겠다는 공약을 내세웠기 때문이다. 그러나 미국이 중국과 러시아 견제로 인해 해당 국가 보안 제품 구입을 줄일 경우 이 자리를 한국 기업이 채울 수 있다는 가능성도 제기됐다. CISA 해체할까…사이버 부대 창설 가능성 제기 외신들은 트럼프 대통령 당선인이 '프로젝트 2025 보고서' 권고안을 채택할 것으로 예상하고 있다. 보고서는 국토안보부와 사이버보안 및 인프라 보안국(CISA)을 해체하고 일부 조직을 교통부로 이전할 것을 제안하고 있다. 현재 공화당은 이에 대한 명확한 입장을 밝히지 않은 상태다. 다만 프로젝트 2025의 주요 저자들이 과거 트럼프 행정부 출신인 만큼 재집권 시 이를 시행할 가능성이 있다는 분석이다. 지난 8월 와이어드 보도에 따르면 트럼프 캠프 내에서 CISA 성과에 대해 불만이 팽배한 것으로 전해졌다. 캠프 관계자들은 CISA의 허위정보 대응 활동을 문제 삼았다. 이에 공화당이 대선에서 승리할 경우 이 기관이 해당 권한을 상실할 것이라는 전망도 나왔다. 다만 CISA 해체를 위해서는 의회 협조가 필요하다. 와이어드는 의회가 협조하지 않으면 트럼프 정부가 CISA 권한을 축소하거나 예산을 삭감하는 식으로 역할을 어떻게든 줄일 것으로 예상했다. 트럼프 정부가 사이버 부대 창설에 투자할 것이라는 예측도 나오고 있다. 군사·안보 관련 사이버 부서에 예산을 늘려 사이버 위협에 대한 방어력을 강화하기 위해서다. 그동안 트럼프 당선인 주변인들은 사이버 보안을 위해 육군과 해군, 공군, 해병대, 우주군과 독립된 사이버 부대를 창설할 계획을 지속적으로 언급한 바 있다. 지난 6일 미국 ABC뉴스는 공화당 관계자들이 사이버 군 필요성을 지속적으로 언급했다면서 트럼프가 당선되면 이 일이 빠르게 진행될 것이라고 보도했다. 반면 민주당 관계자들은 사이버 부대 창설 실현 가능성을 낮게 본 것으로 전해졌다. "SBOM 등 보안 정책 기조는 유지…참모진에 따라 달라질 수도" 국내 보안 업계는 미국 보안 정책에 귀를 기울이고 있다. 특히 SW 공급망에 SBOM 추진을 의무화하는 정책에 집중하고 있다. 트럼프 정부가 SBOM 의무화를 기존보다 더 확산한다면 국내 정부도 SBOM 의무화 계획을 더 앞당길 수 있다는 이유에서다. 순천향대 염흥열 명예교수는 트럼프가 집권했을 당시 사이버 안보 중요성을 높게 봤다고 밝혔다. 앞서 트럼프 정부는 2017년 '국가안보전략'을 발표했다. 전략 보고서에서는 ▲미국 내 네트워크, 시스템, 데이터 안보 강화 ▲디지털경제와 기술혁신 증진 ▲미국 국제 평화와 국가안보 증진 ▲국제 인터넷 환경과 기술에서 미국 리더십 확대 등을 핵심 목표로 제시했다. 조 바이든 대통령이 해당 전략을 이어 받았다. 이후 2021년 바이든 정부는 여기에 SBOM 의무화를 추진했다. SW 보안 공급망 강화를 위해 정부에 납품되는 모든 SW에 SBOM 정책을 시행하자는 내용이다. 현재 미국 행정기관이 이를 이행하기 시작한 상태다. 이어 유럽연합(EU)도 SBOM 의무화를 추진했다. 국내는 SBOM 가이드라인만 제시한 상태다. 염 교수는 "SBOM은 트럼프 국가안보전략에 추가된 보안 정책"이라며 "트럼프 정부 기조와 이어진다"고 설명했다. 이어 "사이버 안보는 초당적 목표"라며 "민주당에서 공화당으로 미국 정권이 바뀌었다고 해서 해당 정책이 획기적으로 달라지지 않을 것"이라고 말했다. 다만 염 교수는 백악관에 입성하는 참모진에 따라 보안 정책이 변할 가능성이 있다는 점도 언급했다. 그는 "트럼프가 백악관에 들이는 비서관을 비롯해 사이버 보안 정책 담당자 성향에 따라 정책 방향이 달라질 수는 있다"고 설명했다. '관세 폭탄'에 국내 물리보안 수출 영향..."중국·러시아 빈차리 채워야" 트럼트 당선자가 무역 관세를 대폭 올리겠다는 공약에 따라 국내 보안업계는 대응 마련에도 분주하다. 미국 우선주의를 내세우는 트럼프 정부가 자국 보안제품 적용 확대 전략을 채택할 수 있을 거라는 우려가 나와서다. 한 국내 보안업계 관계자는 "특히 하드웨어 장비를 수출하는 물리보안 업체나 어플라이언스 기반 정보보호 기업이 이에 영향받을 것"이라고 설명했다. 실제 올해 발간된 국내 정보보호산업 실태조사 보고서에 따르면 2023년 기준 정보보안의 경우 수출 비중 49.7%가 일본에서 발생한다. 물리보안의 경우 수출 비중 49.7%가 미국에서 나온다. 미국에 수출되는 국내 정보보안 수출액 비중은 5.5%에 그친다. 업계 관계자는 "무역 관세가 대폭 상승하면 국내에선 미국에 보안 장비를 수출하는 업체가 가장 큰 타격을 입을 수 있을 것"이라며 "이는 한국 보안 업체에겐 위기이자 기회로, 트럼프 정부가 관세 상승과 더불어 중국, 러시아산 정보보안 제품·장비 사용 비중을 줄일 수 있을 것이란 전망이 나왔기 때문"이라고 말했다. 앞서 2017년 트럼프 정부는 카스퍼스키가 러시아 정부와의 연관성에 대한 우려로 미국 정부 기관에서의 제품과 서비스 사용이 금지된 바 있다. 카스퍼스키는 미국 지사를 올해 최종 철수했다. 다른 국내 보안업계 관계자는 "보안 시장에서 러시아, 중국산 보안 제품이 설 자리를 잃을 것"이라며 "그 자리를 누군가 채워야 하는 필요성이 생길 수 있을 것"이라고 말했다. 이어 "이를 국내 보안 기업이 채울 수 있어 현재 분위기가 국내에 긍정적으로 작용할 수 있다"고 강조했다. 미국 내 지사를 설립한 한국 정보보안 기업도 시장 변화기에 대비할 필요가 있다고 말했다. 우선적으로 국내 보안 기업들은 미국 내 협력사와 파트너십을 강화해야 할 필요가 있다고 당부했다. 업체 관계자는 "자회사 설립 등으로 대응 전략을 구사해야 한다"며 "현지화 전략을 통해 새로운 기회가 열릴 수 있다고 본다"고 내다봤다.

2024.11.08 16:46김미정

염흥열 교수 "안전한 SW 공급망 필수…망 내부 훤히 보여야"

"최근 개별 소프트웨어(SW)뿐 아니라 SW 공급망 보안 중요성이 커졌습니다. 국내 정부도 공급망에 소프트웨어 자재 명세서(SBOM)를 의무화해야 합니다. SBOM이 SW 개발부터 유지·운영 환경 안전성을 획기적으로 높일 것입니다." 순천향대 염흥열 명예교수는 6일 서울 강남 섬유센터에서 열린 '제14회 SW 개발보안 컨퍼런스'에서 "SW 공급망 보안에 SBOM은 필수"라고 강조했다. SBOM은 SW에 포함된 모든 구성 요소 목록을 나타내는 문서다. SW 제품 투명성을 높이고 보안 취약점을 효과적으로 관리하기 위해 사용된다. SBOM에는 라이선스 정보와 버전 번호, 구성 요소, 세부 정보, 공급업체 등에 대한 정보가 있다. 염흥열 교수는 "기업·개발자는 SBOM의 제품 구성 요소 가시성을 통해 SW 취약점을 스캔하거나 위협 대처를 원활히 할 수 있다"고 강조했다. "SBOM, SW 개발자·운영자·구매자 모두 도와" 염흥열 교수는 SBOM이 SW 개발자와 운영자, 구매자에게 기술적 이점을 제공한다고 주장했다. 염 교수는 "개발자는 SBOM을 통해 사용 중인 SW 구성 요소가 최신 버전인지 확인할 수 있다"며 "SW가 어떻게 이뤄져 있는지 미리 파악함으로써 보안 취약점에 신속하게 대응할 수 있다"고 설명했다. 이를 통해 개발자는 개발 과정에서 효율성을 높이고 제품 안정성을 올릴 수 있는 셈이다. 또 구매자는 SBOM을 통해 구입한 SW 제품이 어떻게 구성됐는지 투명하게 확인할 수 있다. 이에 잠재적인 취약점을 미리 파악할 수 있다. 염 교수는 "제품 라이선스 정보를 명확하게 이해할 수 있다"며 "라이선스 위반 등 법적 위험까지 줄일 수 있다"고 설명했다. 이어 "운영자도 SBOM으로 운영 중인 SW 특정 모듈에서 보안 취약점을 사전에 파악할 수 있다"며 "안정적인 시스템 운영과 보안 관리를 원활히 할 수 있을 것"이라고 덧붙였다. 또 그는 "결과적으로 SBOM은 SW의 투명성, 책임성, 신뢰성을 높임으로써 제품 개발부터 운영까지 전 과정에 다양한 이점을 제공한다"고 강조했다. "美·EU, SBOM 적용 활발…韓도 의무화해야" 염 교수는 미국과 유럽연합(EU)처럼 국내 정부도 SBOM을 공급망 위험 관리 핵심 요소로 다뤄야 한다고 주장했다. 실제 조 바이든 미국 대통령은 2021년 사이버 보안 역량 강화를 위한 행정명령을 발표했다. 바이든 대통령은 연방 정부에 납품되는 모든 SW에 SBOM 적용을 의무화했다. 미국 국립표준기술연구소(NIST)도 안전한 SW 개발 환경에 대한 표준 절차와 기준을 산업계에 요청한 바 있다. 이에 미국 SW 공급자들은 해당 표준을 준수하고 있음을 증명해야 한다. EU도 사이버 회복력 법(Cyber Resilience Act)을 통해 SBOM 도입을 추진하고 있다. 이 법안은 최근 EU 의회를 통과했다. 이에 모든 디지털 기기에 포함된 SW에 SBOM을 의무화할 예정이다. 염 교수는 "미국과 EU는 SOBM을 통해 SW 구성 요소 취약점을 신속하게 식별·대응함으로써 전체적인 사이버 보안을 강화하고 있다"고 말했다. 이와 관련해 국내 정부도 올해 5월 SW 공급망 보안 가이드라인을 발표하긴 했다. 다만 이를 의무화하진 않은 상태다. 염 교수는 "글로벌 사회는 SW 공급망 보안을 중요하게 본다"며 "이에 발맞춰 국내 정부도 SBOM 의무화를 적극 추진해야 한다"고 강조했다.

2024.11.06 16:23김미정

EU, 사이버 위협 관리 안한 제품은 판매 금지

앞으로 유럽연합(EU)에 수출하는 노트북, 모바일기가, 홈카메라, 냉장고, TV 등 디지털 요소가 포함된 모든 제품은 사이버 보안 위협을 관리한 후 CE인증을 받아야 한다. EU에서 사이버 보안 규제가 확대되고 있는 가운데 국내 기업이 수출 경쟁력 유지하려면 대처가 시급하다. EU 이사회는 지난 10일 역내 판매되는 디지털 제품의 사이버 보안 요구사항을 담은 사이버복원력법(Cyber Resilience Act, CRA)을 승인했다. 공급망 보안을 강화한 조치다. 앞으로 몇 주안에 EU 관보에 해당 내용이 게시되며 올해부터 효력이 발효된다. CRA에 따라 사이버 보안 관리를 하지 않은 디지털 요소가 들어간 제품은 유럽 시장 진출 필수 인증인 CE마크를 획득할 수 없다. EU에 디지털 제품을 수출하는 기업은 CRA 규정에 맞춰 소프트웨어자재명세서(SBOM)를 작성하는 것은 물론 지속적인 사이버 보안 취약점 관리를 해야 한다. 소프트웨어코드의 취약점부터 SBOM 관리는 개발과 공급망 프로세스 전반에 내재화해야 하는 과정으로 단 시간에 이뤄지지 않는다. 완제품을 수출하는 기업은 물론이고 소프트웨어나 부품을 납품하는 기업 모두 SBOM을 관리하고 취약점을 지속 관리해야 한다. 국내 기업은 법이 본격 적용되는 2027년 전까지 2~3년간 개발 프로세스 전 과정을 개선해야 한다. CRA는 디지털 제품에 대한 사이버 보안 관리를 의무화하는 세계 최초의 법안이다. 하드웨어와 소프트웨어 제품의 생애 주기 동안 필수적인 사이버 보안 요구사항을 도입하는 법안으로 노트북, 모바일 기기, 센서, 카메라, 라우터, 펌웨어, 어플리케이션, 비디오 게임, 비디오 카드, 컴퓨터 처리 장치와 같은 모든 디지털 요소가 들어간 제품에 적용된다. EU는 디지털 요소가 포함된 모든 제품의 보안 취약성을 줄이고, 제조업체, 수입업체, 유통업체가 제품의 생애 주기 동안 사이버 보안을 적절하게 관리하도록 CRA를 마련했다. 이를 통해 소비자와 기업, 공공부분에 미치는 사이버 위협을 사전에 대응할 계획이다. 기존 사이버 보안은 제품을 운영하는 쪽에서 규제를 준수했다. CRA로 제조업체까지 사이버보안 관리 주체가 확대됐다. EU 시장에 디지털 요소를 포함한 제품을 출시하는 모든 기업은 알려진 사이버 보안 취약점 수정은 물론이고 소프트웨어 업데이트 제공, 제품 감사와 인증을 받아야 한다. 유통사와 수입업체에도 같은 의무가 적용된다. 이희조 고려대 컴퓨터학과 교수는 “기업은 자체 개발 소프트웨어는 물론이고 협력 기업이 납품한 디지털 요소 등에 대해 모두 취약점을 관리하고 SBOM을 작성해야 한다"면서 “제품 개발 전 과정에서 사이버 보안을 관리하는 체계로 전환해야 한다"고 말했다. 이어 “기업은 보안을 고려한 개발프로세스(SDL), SBOM 생성 및 관리, 취약점신고관리 프로그램(vulnerability disclosure program) 구축까지 개발에서 유통, 운영단계별로 취약점관리프로그램을 수립해야 한다"면서 “프로그램을 내재화는 1~2년이 걸리는 작업으로 EU 시장에 대응하려면 지금부터 준비를 서둘러야 한다"고 말했다.

2024.10.28 13:59김인순

쿤텍, KB국민은행 공급망 보안 강화

쿤텍(대표 방혁준)이 금융권 공급망 보안 강화를 위한 서비스 확대에 나선다. 쿤텍은 KB국민은행의 소프트웨어 공급망 보안 안정성 강화를 위해 '이지스-SCM(AEGIS-SCM)'을 도입했다고 10일 밝혔다. 이번에 KB국민은행에 공급한 소프트웨어(SW) 공급망 관리 솔루션인 이지스-SCM은 소프트웨어 자재 명세서(SBOM) 관리에 특화된 솔루션이다. 소프트웨어 개발 생명주기(SDLC) 전체에 걸친 공급망 보안 통합 관리를 지원한다. 전 산업 분야에 걸친 디지털 전환이 가속화되면서 소프트웨어 공급망이 복잡해지고 각 소프트웨어 사이의 상호 의존성(Dependency)이 증가하고 있다. 이처럼 공급망과 구성요소의 관계가 복잡해질수록 체계적인 보안 점검이 어려워지므로 공격자의 침투 경로가 다양해질 수밖에 없다. 이러한 상황에서 공급망에 대한 공격을 선제적으로 관리하기 위해서는 SBOM 모니터링을 통해 공급망을 구성하는 각 구성요소에 대한 가시성을 파악하고 소프트웨어 개발 생명주기 전 과정에 대한 보안 관리를 수행해야 한다. 이지스-SCM은 SBOM 기반 공급망 보안 통합 관리 솔루션으로 SPDX, jason, spdx.xml, yaml, rdf.xml 등 다양한 형식의 SBOM 분석을 제공한다. 또한, SBOM 정보 수집 및 모니터링을 기반으로 소프트웨어 업데이트 또는 패치 시 기존 소프트웨어와 파일의 변화 수치를 청크 단위로 비교하여 악성코드의 유입 또는 변조 가능성을 측정할 수 있다. 이 밖에도 바이너리 파일에 사용한 인증서 분석을 통해 파일의 변조 유무를 판단할 수 있어 사전에 공격 가능성을 차단할 수 있도록 지원하는 것이 특징이다.

2024.10.11 15:43남혁우

래브라도랩스, 美서 SW공급망 자동관리플랫폼으로 주목 받아

래브라도랩스(대표 김진석 이희조)가 미국 사이버보안·인프라보호청(CISA)이 주최하는 글로벌 소프트웨어 공급망 보안 행사 'SBOM-a-Rama'에서 'SW 공급망 자동관리플랫폼'을 소개했다. CISA는 국토안보부에 소속돼 미국 사이버 보안을 총괄하는 기관이다. 소프트웨어 공급망 보안 강화를 위해 SBOM-a-Rama 행사를 개최했다. CISA는 올해 처음 소프트웨어구성명세서(SBOM) 관련 전시회도 함께 열었다. 소프트웨어 공급망 전문 기업 래브라도랩스는 한국 기업으로 유일하게 이 행사에서 발표와 전시에 참여했다. CISA는 9월 11일부터 12일(현지시각)까지 이틀간 콜로라도주 덴버 애슬래틱 클럽(Denver Athletic Club)에서 행사를 개최했다. 첫째 날에는 전 세계 소프트웨어 커뮤니티에서 SBOM 관련 발표가 이어졌다. 둘째 날에는 SBOM 솔루션 쇼케이스가 진행됐다. 래브라도랩스는 SBOM 생성은 물론이고 검증, 교환까지 소프트웨어(SW) 공급망 보안을 손쉽게 관리하는 플랫폼 '래브라도 SCM'과 소프트웨어 구성 분석(SCA)' 솔루션을 전시, 발표했다. 래브라도 SCM은 SW 공급망에 관여하는 모든 기업의 SBOM 생성, 보내기, 받기, 상호 확인, 수정 보완 등 일련의 과정을 자동화한 솔루션이다. 래브라도 SCM은 SW 유통 과정에서 취약점을 사전에 점검해 안전한 SW로 보완하는 것은 물론이고 SBOM 수작업 생성 및 교환에 따른 업무 비효율성 개선하는 획기적인 서비스다. 이미 글로벌 제조 대기업과 의료기기 기업 등이 '래브라도 SCM'을 도입, 소프트웨어 공급망 보안 규제 대응을 시작했다. 래브라도랩스는 협력사를 위한 오픈소스 취약점 및 라이선스 컴플라이언스 위험 제거 도구 '소프트웨어 구성 분석(SCA)' 솔루션도 선보였다. 래브라도랩스는 미국 캘리포니아 세크라멘토에 사무실을 열고 글로벌 시장을 공략하고 있다. 김진석 래브라도랩스 대표는 “기업들은 SBOM 생성 후에 나타나는 소프트웨어 취약점 등을 처리하기 어려운데 래브라도랩스의 코드레벨 3레이어 분석 등으로 이를 해결할 수 있다"면서 “이번 행사에서 SBOM 공급망 생태계를 구성하는 제품으로 주목받았다"고 말했다.

2024.09.13 16:30김인순

래브라도랩스, SW공급망 자동관리플랫폼 '래브라도 SCM' 출시

소프트웨어자재명세서(SBOM) 생성은 물론이고 검증, 교환까지 소프트웨어(SW) 공급망 보안을 손쉽게 관리하는 플랫폼이 나왔다. 래브라도랩스(대표 김진석 이희조)는 19일 SW 공급망 자동관리플랫폼 '래브라도 SCM'을 내놨다. 래브라도랩스는 SW 공급망에 관여하는 모든 기업의 SBOM 생성, 보내기, 받기, 상호 확인, 수정 보완 등 일련의 과정을 '래브라도 SCM'으로 자동화했다. 래브라도랩스는 제품 출시와 함께 글로벌 제조 대기업과 의료기기 기업이 '래브라도 SCM'을 도입해 글로벌 SW공급망 규제에 대응하기 시작했다고 밝혔다. ■ 각국 SW 공급망 보안 규제 강화 해커는 최근 SW 공급망의 취약점을 악용한 사이버 공격에 열을 올리고 있다. 미국은 2020년 공공기관에 설치된 네트워크 관리 솔루션 솔라윈즈(SolarWinds) 제품 SW취약점으로 사이버 공격을 받았다. 이 사고 후 미국은 2021년 SW 공급망 안전 강화를 위해 행정명령 14028을 발표했다. 모든 공공기관에 들어가는 SW에 SBOM 제출을 의무화했다. 미 식품의약품안전청(FDA)은 2024년 의료기기에 SBOM 제출을 권고했다. SW 공급망 취약성에 따른 사이버 위협을 최소화하겠다는 의지다. 이러한 움직임은 미국뿐만 아니라 유럽과 일본 등 다른 국가에서도 진행 중이다. 주요 산업 장비 제조사들은 SBOM 관리를 필수로 요구하고 있다. 한국 정부도 2024년 5월에 'SW 공급망 보안 가이드라인'을 발표했다. 한국 정부는 국내 기업이 SBOM을 원활하게 유통·공유할 수 있는 관리체계를 마련했다. 사이버 안보 강화는 물론이고 국내 기업이 글로벌 규제에 신속히 대응할 수 있는 체계 확보에 주력하고 있다. SW 공급망은 복잡한 구조로 기업이 SBOM을 만들고 대응하는게 쉽지 않다. 예를 들어, 완성차 기업은 A사에서 인포테인먼트 SW를 공급받고 B사에서는 차량 간 데이터 전송 SW를 구입한다. 자동차에는 약 1억 줄의 SW가 들어가는데 수많은 공급사가 납품한 코드의 조합으로 만들어진다. 완성차 기업은 1차부터 n차에 이르는 협력 기업에게 SBOM을 받고 지속 관리해야 한다. 협력사 역시 변화하는 SBOM을 추적하고 협력사에 공유해야 한다. 기존에 기업은 SBOM을 생성한 후 이메일 등으로 전송했다. 이 과정에서 기업 핵심 정보인 SBOM 정보가 노출되거나 버전 관리에 혼선을 빚었다. ■ SBOM 생성과 관리 어려움 한번에 해결 래브라도 SCM은 SW협력사 사이에 SBOM 생성과 관리 어려움을 해결한다. 최종 제조사와 협력사는 래브라도 SCM을 통해 각각의 표준화된 SBOM을 교환한다. 기업은 래브라도 SCM에 제품별 SBOM을 올린 후 공유하기만 누르면 자동으로 협력사에 최신 SBOM이 전달된다. 기밀 노출 위협이 줄어들고 버전 관리가 간편해진다. 래브라도 SCM은 제조사(허브 기업)와 SW 협력 기업을 연결한다. 허브 기업은 래브라도 SCM에서 협력 기업 SBOM을 원스톱으로 관리해 SW 보안성을 높이며 각국의 SBOM 규제 문제에 대응할 수 있다. 래브라도 SCM은 소스코드 프라이버시(Source Code Privacy)를 위해 해시 암호화 데이터를 사용해 SBOM을 생성한다. SBOM 무결성 점검한 후 안전하게 교환하게 한다. Cyclone-DX, SPDX, NIS-SBOM, 엑셀 등 사용자가 쉽게 이해할 수 있는 SBOM포맷을 지원한다. SW 라이선스와 취약점 이슈를 쉽게 파악하고 결과 점검이 쉽다. 래브라도 SCM은 SW 공급망 단계에서 기업 특성에 따라 사용 라이선스 범위를 구분해서 제공 받을 수 있다. 영세한 SW 협력사(공급사)는 SBOM을 생성하거나 관리할 인력과 리소스가 부족하다. 래브라도랩스는 협력사를 위한 오픈소스 취약점 및 라이선스 컴플라이언스 위험 제거 도구 '소프트웨어 구성 분석(SCA)' 솔루션도 제공한다. 상용 SW의 80%는 오픈소스로 구성되며 라이선스 위반뿐 아니라 보안 취약점 패치가 되지 않아 제품에 해킹공격이 발생한다. 치명적인 CVE취약점이 패치되지 않으면 규제 인증시 승인거절 된다. SCA를 사용하면 SW 투명성 뿐만 아니라 보안 관리도 강화된다. 협력사는 SCA로 SW를 점검한 후 SBOM을 만들고 래브라도 SCM에서 제조사와 공유하면 된다. 김진석 래브라도랩스 대표는 “래브라도 SCM은 SW 유통 과정에서 취약점을 사전에 점검해 안전한 SW로 보완하는 것은 물론이고 SBOM 수작업 생성 및 교환에 따른 업무 비효율성 개선하는 획기적인 서비스"라고 말했다.

2024.08.19 15:24김인순

고려대 SW보안연구소, '제8회 IoTcube 컨퍼런스' 개최

고려대 SW보안연구소(CSSA, 연구소장 이희조)가 27일 '아이오티큐브 컨퍼런스(IoTcube Conference 2024)'를 고려대 하나스퀘어에서 개최한다. 올해로 8회를 맞이하는 컨퍼런스는 한국·미국·영국·스위스 4개국 공동연구로 2016년 시작했다. '보안취약점 자동분석 플랫폼 IoTcube.net' 기술 최신 현황을 소개하고 응용 사례를 공유하는 행사다. 2024년에는 공급망 보안 기술 경험에 대한 국내외 전문가 특별 강연을 시작으로, 소프트웨어자재명세서(SBOM) 생성을 직접 체험하는 트레이닝 세션까지 마련됐다. 오전 세션은 리눅스 재단 산하 오픈소스 보안재단(OpenSSF) 이사회 멤버인 마이클 리버만(Michael Lieberman) 쿠사리(Kusari) CTO와 김유승 삼성전자 상무의 공급망 보안 특별 강연으로 시작된다. 오후 세션은 'SBOM 기술 최신 연구' 성과 공유 및 고려대 융합보안대학원 컨소시엄 기업 '융합보안 기술 사례', 두 가지 트랙이 준비됐다. 'SBOM 기술 최신 연구' 트랙에서는 고려대, 한국과학기술원(KAIST)의 SBOM 기술 최신 연구 성과와 한국인터넷진흥원(KISA) 공급망 보안 정책 동향을 돌아볼 예정이다. 산학관 전문가들이 공급망보안 제도와 SBOM 보편화 대비 방안을 논의하는 패널 토의가 이어진다. '융합보안 기술 사례' 트랙에서는 KT, 아우토크립트 등 고려대 융합보안대학원 컨소시엄 기업들이 연사로 나서, 네트워크 공격 동향 및 대응 방안, 자동차 사이버보안 기술과 규제 현황 등을 공유한다. 컨퍼런스에는 KMS테크놀로지의 블랙덕(Black Duck) 도구, 래브라도랩스의 래브라도 스캐너 도구, 고려대학교의 햇봄(HatBOM) 도구를 활용한 SBOM 실습 트레이닝 세션이 마련돼 있다. 해외 수출과 SBOM 대비가 필요한 제조기업 등을 중심으로 소규모 팀 트레이닝을 진행할 예정이다. 이희조 고려대 교수는 "SBOM 제도화 대응이 필요한 기업 담당자들이 직접 SBOM 생성을 체험해볼 수 있도록, 국내외 도구를 실습하는 트레이닝 세션을 마련했다"며 "SBOM과 융합보안 기술 사례, 패널토의까지 다양한 프로그램을 통해 보안 고민을 나누고 함께 해결책을 찾아보는 시간이 되기를 바란다"고 개최 소감을 전했다. 이번 컨퍼런스는 과학기술정보통신부·정보통신기획평가원(IITP)의 정보보호핵심원천기술개발사업 및 정보통신방송혁신인재양성사업 연구결과로 수행되며 고려대 소프트웨어보안연구소(CSSA), 융합보안대학원(융합보안핵심인재양성사업단), 4단계 BK21 컴퓨터학교육연구단, 소프트웨어중심대학사업단이 공동 주최한다.

2024.08.09 08:50김인순

"제품 신뢰 높여"…티맥스소프트, 전 제품에 통합 SW자재명세 적용

티맥스소프트가 인공지능(AI) 시대에 부합하는 제품 신뢰성 강화에 나섰다. 티맥스소프트는 통합 소프트웨어자재명세(SBOM) 관리 체계를 전 제품에 적용 완료했다고 7일 밝혔다. SBOM은 고객이 사용하는 제품에 구성된 모든 소프트웨어(SW) 정보를 기록한 명세서다. SW 공급망 관리와 보호를 위한 방안으로 평가 받았다. 정부는 올해 5월 'SW 공급망 보안 가이드라인'을 마련해 공공·민간 등 관련 자체 역량을 강화하고, 미국, 유럽 등 해외 주요 국가 SBOM 제출 의무화에 대비할 수 있도록 SBOM 적용을 권고한 바 있다. 디지털플랫폼정부(DPG)의 주요 시스템 구축 시에도 SBOM을 시범 적용키로 했다. 티맥스소프트는 발표된 가이드라인을 따라 SBOM 기반 보안 관리 시스템을 구축, 고도화했다. SW 개발 단계에서부터 자동화 및 실시간 수준의 체계를 갖춰 제품의 신뢰성을 높이기 위해서다. 증가하는 오픈소스 활용과 클라우드 수요로 주목받는 사이버보안 위협에 선제적으로 대응을 목표로 뒀다. 최근 고도화를 완료한 SBOM 체계는 티맥스소프트의 전사 개발 프로세스와 연동해 오픈소스 보안 취약점과 라이선스를 검증·분석함으로써 통합적인 제품 보안 관리가 가능해졌다. 이 회사는 정적 분석 도구인 '소나큐브'도 전 제품에 적용해 소스코드의 품질·보안 관리 성숙도를 높였다고 설명했다. 티맥스소프트는 SBOM 체계와 소스코드 품질 분석 개선을 통해 신속하고 안정적인 개발·배포·운영을 실현하는 데브옵스의 고도화를 이루고, 더 높은 수준의 사이버보안 위협 대응력을 확보했다는 입장이다. 이를 토대로 AI 시대 주요 경쟁력인 서비스 품질을 더욱 높이고, 비즈니스 가치를 극대화해 지속가능한 성장을 모색할 계획이다. 이형배 티맥스소프트 대표는 "이번 통합 SBOM 체계 확보로 설계-개발-품질보증의 유기적 운영 수준이 대폭 오를 것"이라며 "유지보수 업무량 감소 효과는 물론, 고객의 보안 이슈를 사전 또는 즉각 대응할 수 있는 차별점을 확보한 만큼 AI 클라우드 인프라와 서비스를 지원하는 사업을 적극 공략해 나갈 방침"이라고 말했다.

2024.08.07 13:17김미정

정부, SW 공급망 공격 심화…S-BOM 보안 가이드라인 발표

정부가 최근 소프트웨어(SW) 공급망을 노린 사이버 공격을 막기 위해 민간과 협력해 소프트웨어 자재명세서(SBOM) 가이드라인을 배포하고 디지털 보안을 강화한다. 디지털플랫폼정부위원회와 과학기술정보통신부·국가정보원·디지털플랫폼정부위원회·한국인터넷진흥원은 SW 공급망 보안 가이드라인 간담회를 개최했다고 18일 밝혔다. 간담회에서 업계 전문가들은 가이드라인 주요 내용을 공유하고 향후 국내 확산 방안을 논의했다. 다양한 산업분야로 널리 확산되고 있는 디지털 제품・서비스에서 SW의 비중이 높아지고 있다. 모든 디지털 제품과 서비스가 네트워크로 연결되고 있고 이를 악용한 SW 공급망 침투 등 악성코드를 삽입하는 공격도 늘고 있다는 지적이 나온 바 있다. 가이드라인엔 ▲SBOM 국제표준 ▲SW 개발주기에 따른 SBOM 관리 방안 ▲공급망 단계별 보안 점검항목 ▲판교 기업지원허브, 원주 디지털 헬스케어 보안리빙랩 등 정부 지원체계 등이 담겼다. 또 가이드라인에 기반한 SBOM의 국제 표준 및 활용 방안도 공유됐다. 제조업 자재명세서의 개념을 적용한 것으로 소프트웨어의 구성요소를 메타 데이터로 나타낸다. SW 공급망 보안 가이드라인은 사이버 공격 대응뿐만 아니라 SW 품질을 높여 우리 기업의 수출에도 도움이 된다. 미국 및 유럽 등 주요국은 SW 공급망 보안 제도화를 추진하고 있다. 정부는 이번 가이드라인 보급이 SW 개발 기업을 향한 규제가 아닌 이들 상품의 품질 및 보안역량을 제고하는 조치라고 설명했다. 또 SW 개발 중소기업의 수출을 지원하겠다고 강조했다. 강도현 과기정통부 제2차관은 "이번 가이드라인은 기업 규제가 아니라 이들의 자체적인 보안활동을 강화해 경쟁력을 높여주는 것"이라며 "특히 SW 중소기업 지원에 노력을 아끼지 않겠다"고 말했다. 윤오준 국정원 3차장은 "최근 북한의 고도화된 해킹조직에 의한 우리나라 국가·공공기관 대상 공급망 위협이 심화하고 있다"면서 "산업계 및 해외 국가와 협력해 업계 부담을 줄이면서도 사이버 안보를 강화할 수 있는 공급망 보안 대책을 마련하겠다"고 말했다.

2024.04.18 17:47이한얼

美, 소프트웨어 공급망 보안 규제 현실화

미국의 소프트웨어(SW) 공급망 보안 규제가 올해 본격화한다. 소프트웨어 개발사는 물론이고 의료기기, 사물인터넷(IoT) 기기 등 각종 기기 제조사까지 여파가 예상돼 대응이 시급하다. 미국 바이든 행정부는 지난 2021년 5월 SW 공급망 보안을 강화하는 행정명령(EO 14028)을 발표했다. 이후 백악관 예산관리국(OMB)은 SW 공급망 보안 강화에 관한 M-22-18이라는 문서를 내놨다. 이 문서에 따르면 미국 정부에 SW를 판매하는 기업은 국립표준원(NIST)이 만든 '보안 소프트웨어 개발 프레임워크(SSDF)'를 준수해야 한다. 올해부터 정부기관과 계약하는 기업은 반드시 제품이 SSDF를 준수했다는 증명을 제공해야 한다. 이희조 고려대 컴퓨터학과 교수는 "올해가 사실상 미국 SW 공급망 보안 규제가 기업에 직접 적용되는 시점"이라며 "의료기기를 비롯해 자동차, 각종 제조업과 관련된 2, 3차 협력 기업이 SW 공급망 보안 규제에 관심을 기울여야 한다"고 말했다. 이어 "중소중견 협력사가 보안을 고려한 개발에 준비가 안되면 이를 포함한 제품을 만든 대기업 수출에 영향을 받을 수 있다"면서 "문제는 SSDF와 SBOM(SW Bill of Materials) 관리는 담당조직과 프로세스가 필요해 준비에 상당 기간이 걸린다"고 말했다. 미국 정부는 2021년 행정명령 후 기업이 안전하게 SW를 개발하는 프로세스를 만들고 이를 체계화하는 방법론을 제시하는데 주력했다. 행정명령 후 미국 기업들이 관련 프로세스를 만들고 체계화하는 작업을 도왔다. 미국 규제는 ▲자기증명 요건(Self-Attestation Requirement) ▲펌웨어 포함(Firmware Inclusion) ▲제품 보안에 대한 공급업체의 책임(Vendor Responsibility for Product Security) 등으로 요약할 수 있다. SW개발사는 미국 정부기관에 제품을 공급할 때 NIST 가이드라인을 준수하는지 확인해야 한다. 일부 기관은 시스템 중요도에 따라 제3자 평가를 요구할 수도 있다. 미국 정부는 SW에 대한 안전한 개발 프로세스 뿐만 아니라 라이브러리에 쓰인 오픈소스 구성 요소까지 모두 출처를 밝히고 안전성을 입증하라고 요구한다. 기업은 다양한 오픈소스 SW를 이용해 애플리케이션을 개발하고 하드웨어에 탑재한다. 이 과정에 들어간 오픈소스에 취약점이 없는지 모두 점검해야 한다. SW 개발에 활용되는 모든 정보를 담은 명세서 'SBOM'를 작성, 제출해야 한다. 해당 규제는 펌웨어, 운영체제, 애플리케이션 등을 모두 포괄한다. 하드웨어에 들어가는 펌웨어도 반드시 가이드라인을 준수해야 한다. 미국 정부기관에 납품하는 기업은 제품 수명 주기 전반에 걸쳐 SW 취약성과 업데이트를 확인해야 한다. 이를 준수하지 않으면 제재를 받는다. 문제는 한국 기업 준비도다. 미국 정부가 요청하는 SSDF와 SBOM을 준비하려면 관련 조직과 프로세스를 갖춰야 한다. 그나마 대기업은 조직을 정비했지만 2,3차 협력 회사들이 이에 대한 준비가 미흡하다. 이같은 조치는 SW 공급망에 대한 사이버 위협 증가 때문이다. 2020년 미국 IT 관리 소프트웨어 및 원격 모니터링 도구 회사인 솔라윈즈(SolarWinds) 제품이 해킹에 악용됐다. 당시 솔라윈즈 제품을 사용한 정부기관이 사이버 공격에 그대로 노출됐다. 해커는 솔라윈즈 제품의 SW취약점을 이용해 해당 제품을 쓰는 기업 내부로 침투했다. SW 공급망 공격은 한 번 성공하면 다양한 조직이나 기업으로 침투하는 통로가 된다. 기존 악성코드 공격보다 탐지가 어렵다. 해커는 침투하고자 하는 기업이나 기관이 사용하는 소프트웨어 등의 취약점을 활용해 측면으로 공격한다. 김형섭 고려대 소프트웨어보안연구소 연구기획팀장은 "미국 식품의약품안전청(FDA)은 의료기기 기업에게 사이버 보안과 관련된 SBOM을 요구했다"면서 "서드파티(3rd party) 소프트웨어에 대한 보안 가시성과 투명성에 대한 대처 가이드까지 요청하는 상황"이라고 설명했다. 미국 공급망 보안 기업 이클립시움 달튼 탄(Dalton Tan) 시니어 디렉터는 "SW 보안성 증명은 단순히 애플리케이션뿐만 아니라 하드웨어에 내장된 펌웨어도 포함된다"면서 "미국으로 장비와 기기 수출이 많은 한국기업은 이에 대한 대비가 시급하다"고 말했다.

2024.01.16 15:33김인순

Prev 1 Next