금융보안원 장운영 팀장 “SW 공급망 생태계 참여자, 자율보안 역량 강화해야”
금융보안원 장운영 팀장 “SW 공급망 생태계 참여자, 자율보안 역량 강화해야”
SW 공급망 보안 이슈가 끊이지 않고 있다. 지난 7월 크라우드스트라이크(CrowdStrike) 사이버정전 사태를 비롯해 3월 XZ Utils 백도어, 2023년 10월 Okta 공급망 공격, 이보다 앞서 9월 JetBrains 공급망 공격,
www.boannews.com
- SW 공급망 보안의 중요성
- SW 공급망은 사용사(금융사), 개발사, 공급사로 구성
- 최근 공급망 공격 증가
- 주요 사례: Log4j 취약점 공격(2021), Okta 공격(2023), XZ Utils 백도어(2024)
- 유형: 공개 SW 취약점, 빌드 시스템 침해, 업데이트 가로채기 등
- 금융권은 높은 보안 요구와 대규모 피해 가능성으로 각별한 주의 필요
- 공급망 보안 강화를 위한 주요 과제
- 통합 관리체계 구축
- SW 취약점 통합 관리체계 강화
- 버그 바운티 확대 운영
- SW 구성 관리
- SBOM(소프트웨어 자재 명세서) 관리체계 마련
- 운영 안전성 확보
- SW 배포 안정성 모니터링 강화
- 사전 체크리스트 개발
- SW 도입 및 운영 시 점검할 30개 항목 마련
- 통합 관리체계 구축
- 2025년 SW 공급망 보안 플랫폼 개발 계획
- 오픈소스 보안 강화 및 SBOM 중심의 개발
- 금융사 및 SW 개발사에 적용 가능한 표준 체크리스트 제공
- 단계적 플랫폼 구축: 시범운영 및 설문조사를 통해 사용자 요구 반영
- 사고 사례 및 시사점
- 과거 사례: SolarWinds 백도어(2020), JetBrains 공급망 공격(2023)
- 문제점
- 개발 및 배포 과정에서의 보안 관리 소홀
- 협력사 및 내부 리포지터리의 보안 취약
- 시사점
- 체계적인 취약점 관리 및 보안 점검 필요
- 공급망 생태계 내 모든 참여자의 보안 역량 강화 필수
- 결론
- 사전 점검 및 모니터링 체계 강화
- 체크리스트를 통한 도입·운영 단계의 보안 리스크 감소
- 플랫폼 기반의 통합 관리
- SBOM 활용 및 오픈소스 보안 정책 마련
- 교육 및 협력 강화
- 금융사와 SW 개발사의 보안 협력 체계 구축
- 사용자 대상 보안 교육 및 사고 대응 훈련 실시
- 사전 점검 및 모니터링 체계 강화
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 토스뱅크 정보보호본부장 인터뷰: 인터넷 은행의 보안 전략 (0) | 2024.12.03 |
|---|---|
| 노후 서버로 인한 공공기관 개인정보 보호 문제: 개선 필요성 대두 (0) | 2024.12.03 |
| 국회 정보위원회 여야 간사 대상 북한 추정 해킹 시도 (3) | 2024.12.02 |
| 정보보호산업 발전 전략 3가지 (2) | 2024.12.02 |
| PyPI Python 라이브러리 "aiocpa"에서 비밀 키 탈취 시도: 텔레그램 봇을 이용한 악성 업데이트 (1) | 2024.12.02 |