[한국정보공학기술사 보안을 論하다-6] 신뢰할 수 있는 소프트웨어를 위하여
[한국정보공학기술사 보안을 論하다-6] 신뢰할 수 있는 소프트웨어를 위하여
어느샌가 세상은 소프트웨어로 움직이기 시작했다. 숨쉬듯 사용하는 스마트폰이 소프트웨어로 움직이고, 집안의 가전제품도 소프트웨어로 구동되며, 비트코인이라는 이름으로 소프트웨어로
www.boannews.com
- 소프트웨어 공급망 보안의 중요성
- 현대 사회에서 소프트웨어는 다양한 산업과 일상에 핵심적인 역할을 담당함
- 소프트웨어의 복잡성과 의존성 증가로 인해 보안 위협도 높아짐
- 공급망 공격은 단일 제품이 아닌 전체 소프트웨어 생태계를 위협하므로 이에 대한 보호가 필수적임
- 주요 공급망 보안 사건과 교훈
- 솔라윈즈(SolarWinds) 공격: 공급망 보안의 중요성을 각인시킨 대표적인 사례
- 로그4j(Log4j) 취약점: 광범위한 영향력을 미친 오픈소스 취약점, 전 세계 개발자와 기업에 큰 충격
- PyPI 파이썬 악성코드: 오픈소스 생태계를 통해 유포된 악성코드, 공급망의 취약성을 보여줌
- xz/liblzma 백도어 사건: 널리 사용되는 오픈소스 소프트웨어에 백도어가 포함되어 발생한 보안 위협
- 안전한 소프트웨어 개발을 위한 접근법
- 미국 NIST의 SSDF
- NIST SP 800-218의 SSDF 프레임워크는 안전한 소프트웨어 개발을 위한 지침을 제공함
- SSDF 주요 요소
- 조직적 준비: 개발 전반에 보안을 통합하기 위한 체계적 준비
- 자산 보호: 개발 환경과 관련 자산 보호를 위한 조치 마련
- 안전한 코딩과 취약점 수정: 개발 과정에서 보안이 반영된 코드를 작성하고, 취약점을 식별 및 수정
- 효과적인 취약점 대응: 생명주기에서 발견된 취약점에 빠르게 대응하는 전략 구축
- 미국 NIST의 SSDF
- 국제적 움직임과 정책
- 바이든 행정부의 행정명령(EO 14028): 미국 정부 차원에서 소프트웨어 공급망 보안을 강화하는 정책 제정
- 백악관 OMB의 M-22-18 문서: 미국 정부와 계약하는 기업에 SSDF 준수 요구, 글로벌 보안 표준 강화 시사
- 소프트웨어 생명주기 보안 내재화의 필요성
- 소프트웨어가 사용자에게 도달하는 전 과정에 걸쳐 보안 검토와 관리가 필수적임
- 소프트웨어 개발 전 과정에서 보안을 통합하고 관리해야만 신뢰할 수 있는 소프트웨어 제품을 제공할 수 있음
- 이는 개발 조직뿐 아니라 전 세계 소프트웨어 공급망을 보호하기 위한 필수 전략이 됨
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 아마존 브라켓: 양자 컴퓨팅 접근의 기본 도구 (1) | 2024.11.22 |
|---|---|
| FBI, 암호화폐 시장 조작 노출 위해 가짜 암호화폐 생성 (0) | 2024.11.21 |
| OT 환경을 겨냥한 랜섬웨어 공격 증가에 따른 CISO의 역할과 대응 방안 (1) | 2024.11.21 |
| Kerberoasting 방어를 위한 Microsoft 권장 사항 (0) | 2024.11.20 |
| SSH 취약 계정 정보를 악용한 암호화폐 채굴 공격 발견 (0) | 2024.11.20 |