[IT백과] SW 공급망 보안의 핵심 '시큐어 바이 디자인'
[IT백과] SW 공급망 보안의 핵심 '시큐어 바이 디자인'
정보기술(IT) 영역에 관한 모든 지식을 압축해 풀이합니다. IT산업에 꼭 필요한 용어들을 소개하고, 살펴보면 좋을 쟁점들도 정리합니다. IT가 처음인 입문자라면 혹은 동향을 알고...
www.ddaily.co.kr
- SW 공급망 보안의 중요성
- 최근 오픈소스와 SW 취약점을 악용하는 공격이 증가하며 SW 공급망 보안이 중요한 이슈로 부상
- 글로벌 공격 사례(솔라윈즈, 카세야)로 인해 SW 보안을 개별 소프트웨어뿐만 아니라 공급망 차원에서 강화해야 한다는 인식 확산
- 시큐어 바이 디자인(Secure by Design) 개념
- SW 설계 단계부터 보안 체계를 구축하는 개념으로, 보안이 SW의 기본 요소로 포함될 수 있도록 설계
- CISA를 중심으로 보안 내재화를 강조하며, 다중요소인증(MFA), 단일로그인(SSO) 등의 기능을 설계 단계에서 구현 가능
- SW 자재명세서(SBOM)의 필요성
- SBOM(Software Bill of Materials)
- SW 개발 시 외부 오픈소스와 라이브러리의 보안 문제를 관리하기 위한 자재명세서
- SBOM을 통해 SW의 구성요소를 빠르게 파악해 보안 강화를 지원하고, 주요국에서 공급망 보안 관리에 기본 자료로 활용
- SBOM(Software Bill of Materials)
- 국가별 SW 공급망 보안 정책
- 미국과 EU 등에서는 자동화된 대응 체계를 구축해 SW 공급망 보안 강화에 집중
- 한국도 'SW 공급망 보안 가이드라인 1.0'을 통해 국제 동향과 SBOM 활용 사례를 소개하며 관련 정책 추진
- SW 공급망 보안 체크리스트
- 설계, 개발, 공급, 도입 및 운영, 유지보수 단계에서 필요한 확인 사항으로 시큐어코딩 준수, 외부 라이브러리 보안성 확인 등 포함
- KISA가 설립한 디지털인증 확산센터는 전자서명 인증 서비스 표준화 및 검증 체계 구축 지원
- 국내외 보안 기업의 대응
- 팔로알토네트웍스: Secure AI by Design 출시, AI 보안 프레임워크의 무결성을 강화하는 포트폴리오 제공
- 국내 기업: 파수 자회사 스패로우, 소프트캠프 자회사 레드펜소프트, 래브라도랩스 등이 SBOM을 포함한 SW 공급망 보안 솔루션 제공
- 향후 전망과 과제
- 한국의 SW 공급망 보안 TF는 내년 1월까지 공공분야 SW 보안 기준 및 정책 마련, 2027년 시행을 목표로 로드맵 공개 예정
- SW 공급망 보안 인식 확산과 오픈소스 사용에 대한 이해 증대 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 구글의 메모리 안전성 강화 전략 (0) | 2024.11.23 |
|---|---|
| 디지털 포렌식 분석 프로세스: 효과적인 분석을 위한 단계별 접근법 (0) | 2024.11.23 |
| 클라우드 시대의 사이버 보안 운영 모델 구축 지침 (0) | 2024.11.23 |
| 안랩, 기업용 V3 제품군 가격 인상…고도화된 보안 서비스 제공 목적 (0) | 2024.11.23 |
| ATM 공략하는 패스트캐시 멀웨어의 리눅스 버전 등장 (0) | 2024.11.23 |