검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'SW공급망'통합검색 결과 입니다. (6건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

"SW공급망 보안 강화"···8개 시범사업 시행

과학기술정보통신부(과기정통부)는 한국인터넷진흥원(KISA, 원장 이상중)과 함께 글로벌 규제 및 소프트웨어(SW) 공급망 위협에 대응하기 위해 국내기업들의 SW 공급망 보안 관리체계 구축 및 운영 전반에 대해 지원하는 'SBOM 기반 SW 공급망 보안모델 구축 지원사업'을 본격 추진한다고 밝혔다. 'S봄(SBOM)은 제조업의 자재명세서(Bill of Materials, BOM) 개념을 SW에 적용한 것이다. SBOM을 통해 SW의 구성요소를 식별하고 관리하는데 활용할 수 있다. 최근 국민의 일상생활은 물론 다양한 산업 분야에서 SW의 활용 비중이 높아지고, 디지털 제품·서비스가 네트워크로 연결됨에 따라 SW의 보안 취약점을 악용하거나 SW 공급망에 침투하여 악성코드를 삽입하는 등 SW 공급망 위협 사례가 지속적으로 발생하고 있다. 특히, 이러한 SW 공급망 위협은 단일기업·기관의 피해에서 그치지 않고 연쇄적 피해로 이어질 수 있어 그 위험성이 더 큰 상황이다. 실제 2021년 말 발생한 Log4j 보안취약점 사태의 경우 보안취약점 자체도 문제였지만 Log4j가 어느 제품 또는 서비스에 어떻게 사용되고 있는지 정확히 파악하는 것이 불가능해 대응조치가 어렵다는 점이 문제로 지적된 바 있어, SBOM을 기반으로 SW 공급망 관리 강화의 필요성이 대두되기도 했다. 이러한 SW 공급망 위협 증가는 미국·유럽연합(EU) 등 주요국의 SW 공급망 보안 강화 조치로 이어져 SBOM 제출 혹은 관리를 의무화하는 등의 정책·제도 등으로 구현되고 있어, 국내기업들의 수출장벽으로 작용할 우려가 있다. 예컨대, 미국은 의료기기 인허가 시 SBOM을 확인하고 있고, 유럽은 커넥티드카·자율주행시스템 SBOM 관리의무화에 이어 사이버복원력법(CRA,'27~) 시행에 따른 '디지털 요소가 있는 기기'의 SBOM 관리를 요구하고 있다. 이에 따라, 과기정통부와 KISA는 디지털제품·서비스를 개발·공급·운영하는 기업을 대상으로 자체적으로 SW 공급망 보안을 관리할 수 있는 모델 구축부터 운영 및 보안 취약점을 조치할 수 있는 기술지원까지 제공하는 시범사업을 통해 SW 공급망 보안에 투자해야 하는 기업들의 부담과 어려움을 최소화할 수 있도록 지원한다. 또 작년 하반기에 출범한 범정부 합동 TF를 통해 산·학·연 전문가 및 과기정통부·국정원 등 관계부처가 함께 향후 정책방향 등 SW 공급망 보안 로드맵을 마련해 제시할 예정이다. 이번 사업은 SW 공급망에 속해있는 개발·제조·공급·운영 등 기업·기관, SI기업 등이 개발 협력사와 다양한 형태의 컨소시엄을 구성해 참여해야 하며, 총 8개 과제를 선정해 과제당 최대 3.75억원을 지원할 예정이다. 이 사업의 참여를 희망하는 기업·기관 관계자를 대상으로 오는 13일 'SBOM 기반 SW 공급망 보안모델 구축 지원사업 설명회'를 개최해 세부계획을 설명할 예정이다. 공모 접수는 오는 17일(월)부터 4월 21일(월)까지다. 신청 방법 등 공모와 관련한 자세한 내용은 한국인터넷진흥원 누리집에서 확인할 수 있다. 과기정통부 최우혁 정보보호네트워크정책관은 "최근 SW 공급망을 노린 사이버 위협이 증가하고, 이에 따른 글로벌 규제도 강화하고 있어 SW 공급망 보안 강화를 위한 대비가 필수"라면서 “이번 지원사업을 통해 국내기업의 SW 공급망 보안을 강화하고, 해외 수출장벽을 극복하는 데 지원을 아끼지 않겠다”고 말했다.

2025.03.12 12:00방은주

정부, 금융권 SW 공급망 자율점검 가이드 공개

금융보안원이 금융권 소프트웨어(SW) 보안 강화를 위한 가이드라인을 마련했다. 금보원은 'SW공급망 자율점검 체크리스트'를 공개했다고 14일 밝혔다. 이번 체크리스트는 금융회사가 활용할 수 있는 리스트로 총 30개 세부항목으로 이뤄졌다. 개발사용 체크리스트는 내년 중 마련된다. 금보원은 올해 4월부터 금융권 SW공급망 보안 실무협의체를 구성하고, 제3자 SW에 대한 위험관리 강화와 보안위협 사전 식별·대응 목적으로 참여 주체별 체크리스트를 개발해 왔다. 또 오는 28일 '금융권 SW공급망보안 강화 전략' 세미나를 금융투자협회 3층 불스홀에서 개최한다. 이 자리에서 은행·증권·보험·카드 등 200여 개 금융회사를 대상으로 체크리스트를 설명한다. 이날 SW공급망에 대한 실제 침해사고 사례와 대응방안, 금융회사의 선진 SW공급망 보안 사례도 공유한다. 내년부터 운영 예정인 자동화 침해대응 훈련 플랫폼도 소개한다. 김철웅 금융보안원 원장은 "최근 SW공급망 공격이 증가함에 따라, 금융권은 위협을 적시에 대응하고 예방할 수 있도록 준비해야 한다"며 "이번 체크리스트는 금융권 SW공급망보안을 위한 첫걸음으로, 앞으로도 제3자 리스크 완화 및 SW공급망보안 강화를 위해 노력하겠다"고 밝혔다.

2024.11.14 10:30김미정

앤앤에스피, 엔터프라이즈 SW공급망 공격 대안 제시

앤앤에스피(대표 김일용)가 전력, 원자력, 수자원, 스마트시티, 스마트팩토리 등 엔터프라이즈 분야에서 소프트웨어(SW) 공급망을 보호할 수 있는 기술을 제시했다. 앤앤에스피는 '제14회 CPS 보안 워크숍'에서 공급망 보안과 소프트웨어 자제명세서(SBOM) 관점에서 망연계 솔루션 활용 방안을 발표했다고 30일 밝혔다. 최근 공격자들은 SW 기업 내부망에 침투해 제품에 악성코드를 숨겨 고객에게 유포하는 공급망 침투에 열을 올리고 있다. 앤앤에스피의 '앤넷트러스트'는 SW 공급망 보안 이슈에 대응하는 SW공급망보안 솔루션이다. 외부망에서 조직 내부망으로 SW 업데이트를 하거나 특정 파일과 자료 등을 검사해 안전하고 인가된 정보만 전달해 악성코드를 사전에 차단한다. 앤넷트러스트는 송신 서버(TX), 멀티 백신 엔진이 장착된 클린 PC 서버(CLN), 수신 서버(RX) 총 3개의 서버가 하나로 시스템으로 구성됐다. 앤넷트러스트는 국정원 보안기능확인서V3.0을 획득했다. 30일부터 31일까지 이틀간 제주 메종글래드호텔에서 열리는 사이버물리시스템(CPS) 보안 워크숍은 한국정보보호학회 CPS보안연구회가 주관하는 행사다. 한전KDN, 한국서부발전, 한국남동발전, 한국중부발전, 전력거래소 등 국가주요기반시설 운영 기업들이 참여했다. CPS보안연구회는 사이버 물리시스템에서 보안기술 뿐만 아니라 전력, 원자력, 교통, 수자원 등 국가기반시설의 제어시스템에 대한 보안기술을 연구하고 정기 워크숍을 개최한다. 이틀에 걸친 행사에서 CPS보안 관련 세션 6개가 진행된다. 첫째날에는 오중선 한국전력송사 실장은 '무선통신망 보안의 현재와 미래'를, 장승진 한전KDN 차장은 '산업제어시스템 보안모니터링 기술개발 및 실증사업'을, 박개명 한국선급 팀장이 '스마트 선박 사이버복원력을 위한 리스크 평가 기술'을 발표했다. 민경령 스페이스앤빈 대표는 '저궤도 인공위성 탑재 보안 모듈의 우주방사선 차폐방안'을, 서세광 가천대 교수는 '한국형 RMF 제도의 발전 방안'을 소개했다. 둘째날에는 마이타이(My Thai) 플로리다대학 교수가 '머신러닝 시대의 스마트그리드 보안'을, 정동재 KAIST 사이버보안연구센터 팀장이 '사이버 위협 탐지를 위한 실환경 기반의 고품질 AI 공격 데이터넷 생성'을 발표한다. 장대희 경희대 교수는 '인공 위성 및 지상국 시스템의 보안'을, 이석준 가천대 교수가 '제로트러스트, 오해와 이해'를 강연한다.

2024.05.30 17:48남혁우

"SW 공급망 공격, 미리 막는다"…파이오링크, 국내 최초로 '이 기술' 개발

최근 소프트웨어(SW) 공급망 취약점을 겨냥한 공격이 늘어나고 있는 가운데 파이오링크가 이를 선제 대응 할 수 있는 기술을 국내 최초로 개발해 정보보호 시장 내 리더십 강화에 본격 나섰다. 파이오링크는 국내 최초로 '보안취약점(CVE) 관리 기능'을 개발해 자사 웹방화벽인 웹프론트(WEBFRONT)에 추가했다고 13일 밝혔다. 이는 수만 건의 최신 CVE에 대한 자체 분석과 DB 자동화를 통해 특정 취약점에 대한 방어 여부를 즉시 확인하도록 설계한 것이다. 회사 측은 최근 강조되고 있는 소프트웨어 공급망 보안 측면에서 웹프론트가 향후 공격에 대한 효과적인 선제 대응 방안이 될 것이라고 봤다. 파이오링크 관계자는 "현재 소프트웨어 보안취약점과 업데이트 구조를 악용한 소프트웨어 공급망 공격 문제가 계속되고 있다"며 "업무에 활용하는 소프트웨어뿐만 아니라 IT 인프라 시스템에도 오픈소스를 사용한 개발이 일상적이다 보니 보안취약점에 신속히 대응할 수 있는 보안 관리가 중요해졌다"고 말했다. CVE는 소프트웨어의 공개된 취약점을 고유하게 식별하기 위한 국제 표준 코드다. 정부의 보안 조치와 업데이트 권고 등 보안 위협에 대응하는 중요한 척도로 활용되고 있다. 여러 보안 솔루션에서 취약점에 대한 방어를 하고 있으나, 기업은 여러 가지 이유로 적시에 보안 업데이트를 하지 못해 보안 사고에 노출되는 경우가 적지 않다. 더욱이 정부에서 취약점 조치 권고가 발표되더라도 정보보호 관리자 입장에서는 어느 시스템에서 사용되는지 알 수가 없어 일일이 제조사나 공급사에 확인해야 한다. 또 패치까지 오랜 시간이 걸리기 때문에 피해를 최소화할 선제 대응 방안이 필요하다. 앞서 파이오링크는 2021년 전 세계를 공포로 몰아넣은 '로그4j' 취약점을 이용한 해킹 공격이 발생했을 때 고객사의 서버 보호를 위해 웹프론트에 보안 시그니처를 긴급 배포하고 고객의 피해를 최소화한 사례가 있다. 서버의 보안 취약점 여부를 확인하고 대응하는 것은 쉽지 않지만, 서버 앞에 위치한 웹방화벽에서 해당 공격을 탐지하고 차단하는 것이 가장 효율적인 대안이기 때문이다. 특히 웹프론트는 특정 취약점에 대해 시그니처 업데이트로 빠르게 대응할 수 있는 장점이 있다. 보안취약점 관리는 정부에서도 각별히 요청하고 있다. 지난 2월 금융보안원은 CVE 발급기관으로 지정돼 금융 소프트웨어 보안취약점 대응과 관련 공급망 보안을 강화하기로 했다. 한국인터넷진흥원(KISA)은 2024년 중점과제 추진계획 중 하나로 기업의 취약점 조치 책임을 강화하기 위한 법 제도 정비를 계획하고 있다. 이러한 정책 변화 속에서 웹프론트의 CVE 관리 기능은 기관과 기업들에게 보안 관리 부담을 줄이고, 체계적인 보안 조치를 세우는 데 도움이 될 것으로 보인다. 이번에 파이오링크가 3년간의 준비 과정을 통해 선보인 CVE 관리 기능은 웹프론트에서 특정 취약점에 대한 방어가 가능한지 가시성을 제공하는 것이다. 보안 전문가와 AI를 활용해 2020년부터 공개된 CVE를 분석, 약 2만 건에 달하는 최신 웹 취약점을 분류하고 자동화된 DB를 구축했다. 이를 통해 사용자는 특정 취약점의 공격 시나리오와 상세 정보를 확인하고, 보안 기능뿐만 아니라 해당 취약점 공격에 대한 시그니처가 업데이트 돼 있는지도 직접 확인할 수 있다. 이 기능은 시그니처와 함께 주기적으로 업데이트된다. 기업은 정부가 발표하는 취약점과 현재까지 발표된 CVE에 대해 선제적으로 대응할 수 있다. 파이오링크 관계자는 "CVE 취약점의 3분의 1에 해당하는 웹 취약점을 웹 보안 필수 솔루션인 웹방화벽이 앞서 대응함으로써 정보보호 관리자는 취약점 관리에 대한 부담이 줄어들고 보다 전략적이고 계획적인 보안 대책을 수립할 수 있을 것"이라며 "이번 기능 추가를 통해 국내 정보보호 시장에서 리더십을 강화하고, 효율적으로 관리하는 보안 환경 조성에 기여하겠다"고 말했다.

2024.05.13 15:31장유미

정부, SW공급망 보안 지침 1.0 발표···"로드맵도 마련"

정부가 '소프트웨어(SW) 공급망 보안 가이드라인 1.0'을 마련해 발표했다. 확산하고 있는 SW 공급망 사이버보안 위험과 미국, 유럽 등 해외 주요국의 SW 구성요소 명세서(SW Bill of Materials, SBOM) 제출 의무화 등에 대응하기 위한 것이다. 정부·공공 기관 및 기업이 자체적인 SW 공급망 보안 관리역량을 갖출 수 있도록 지원하기 위한 지침이다. 지침(가이드라인)은 과기정통부, 국정원, 디플정위, 한국인터넷진흥원(KISA), 정보통신산업진흥원(NIPA), 한국정보보호산업협회(KISIA) 등 정부·공공기관 홈페이지에서 13일 오전 12시부터 무료로 내려받을 수 있다. 정부는 "세계적으로 유례없는 실무 안내서"라고 밝혔다. 12일 과기정통부·디플정위 등에 따르면 이번 지침은 국산SW에 대한 SBOM(S봄) 실증 및 SW 공급망 보안 테스트베드(판교) 시범 운영 결과 등을 반영했다. 향후 미국 등 주요 국가와 협력해 해외에도 소개할 계획이다. 지침은 전체본(100여 페이지)과 요약본(16 페이지)으로 제공한다. 정부·공공기관의 정책결정자 및 기업 경영진은 요약본을 통해 쉽고 빠르게 SW 공급망 보안의 주요 내용을 이해할 수 있다. 국내 중소기업에게 SW 공급망 보안은 전문인력과 SBOM 생성 도구 등 전용시설을 갖춰야 하는 현실적인 어려움으로 초기 투자에 상당한 부담이 될 수밖에 없지만 피할 수 없는 숙제와 같은 것이다. 이와 같은 기업 애로사항을 해결하기 위해 정부는 기업지원허브(판교), 디지털헬스케어 보안리빙랩(원주), 국가사이버안보협력센터 기술공유실(판교) 등에 SBOM 기반 SW 공급망 보안 관리체계를 구축하고 기업 지원 서비스를 제공하고 있다. 특히, 지침에는 정부·공공 기관 및 기업이 SBOM 기반 SW 공급망 보안 관리체계를 도입하는 과정에서 시행착오를 줄일 수 있게SBOM 유효성 검증, SW 구성요소 관리 요령 및 SBOM 기반 SW 공급망 보안 관리 방안 등을 상세히 수록했다. 정부는 이 지침이 다양한 산업분야서 활용할 수 있게 홍보하는 한편, 디지털플랫폼정부 주요시스템 구축 시 SBOM을 시범 적용해 우수사례를 도출, 발전시켜 나갈 계획이다. 과기정통부는 "SBOM 도입 제도화는 필요하지만 체계적인 준비 없이 제도를 성급히 도입할 경우 SW 개발기간이 장기화하고, 원가 상승요인으로 작용해 기업 부담 요인이 될 수 있다"면서 "이에 따라 정부는 기업의 SBOM 적용 지원을 강화하면서 SW 공급망 보안 저변을 확대하는 한편 향후 주요국의 제도화 동향과 국내 산업 성숙도를 고려, 점진적으로 제도화를 준비해나갈 방침"이라고 밝혔다. 이어 "올 하반기에는 산·학·연 전문가들이 참여하는 범정부 합동TF를 구성해 세부적인 정부지원 방안과 제도화 추진방향을 심도 있게 논의하고 향후 'SW 공급망 보안 로드맵'을 마련할 계획"이라고 덧붙였다.

2024.05.12 12:00방은주

강도현 차관 "미국 등 SW공급망 보안 제도화···적극 대응"

기술패권 경쟁이 가속화하고 있는 가운데 강도현 과기정통부 제 2차관이 SW공급망 보안 챙기기에 나섰다. 강 차관은 19일 광화문 인근에서 국내 소프트웨어(SW) 기업, SW 공급망보안 전문가 등이 참여한 'SW 공급망보안 현장 간담회'를 비공개로 개최했다. 간담회서는 한남대학교 이만희 교수가 SW 공급망보안 관련 국내외 동향을 소개했고, 고려대 최윤성 교수가 SW 공급망보안 가이드라인 방향 및 대응방안을, 또 KISA 이향진 팀장이 과기정통부와 KISA의 중소기업 지원 정책방향을 소개했다. 과기정통부는 "디지털화가 가속화함에 따라 정보보호 영역이 국민 일상생활과 다양한 산업분야로 크게 확장되고 있으며, 최근 미국 및 유럽에서는 SBOM(SW Bill of Materials) 기반의 SW 공급망보안에 대한 제도화가 추진되고 있어 정부 당국 뿐 아니라 산업계에서도 적절한 대응 방안을 마련하기 위해 노력하고 있다"면서 "이번 간담회는 SW 기업들에게 미국, 유럽 등 SW 공급망 보안 정책 동향을 공유하고, 효과적인 SW 설계 및 개발관리를 위한 방안을 논의하기 위해 개최했다"고 설명했다. 회의를 주재한 강 차관은 "디지털화가 가속화하면서 SW의 중요성이 더욱 높아지고 있다고”고 강조하면서 “미국, 유럽 등 해외 주요국의 SW 공급망보안 제도화에 국내 SW 기업이 잘 대응할 수 있도록 지원을 아끼지 않겠다”고 말했다.

2024.03.19 10:03방은주