[2025년 보안 핫 키워드-2] SW 공급망 보안 위협 심화
[2025년 보안 핫 키워드-2] SW 공급망 보안 위협 심화
2025년에는 SW 공급망 보안 위협이 더욱 기승을 부릴 것으로 보인다. SW 공급망 공격은 한 번의 공격으로 많은 피해를 입힐 수 있어 공격자 관점에서는 매우 선호하는 공격이다. 한국인터넷진흥원(
www.boannews.com
- SW 공급망 공격의 심각성
- SW 공급망 공격은 단 한 번의 공격으로 여러 조직과 사용자에게 광범위한 피해를 유발
- 보안 관리가 취약한 중소 협력업체나 오픈소스 환경이 주요 공격 대상
- Sonatype 보고서에 따르면 2019년~2023년 동안 SW 공급망 공격 3배 증가
- 주요 사례
- 2024년 2월: 악성 PyPI 패키지 유포
- 2024년 4월: 국내 게임사 대상 공격
- 2024년 8월: 백신 소프트웨어 취약점을 이용한 악성코드 배포
- SW 공급망 공격의 특성
- APT(지능형 지속 위협)
- 오픈소스 환경 및 SaaS를 겨냥해 악성코드를 유포
- 소프트웨어 업데이트를 가장한 침투
- 피해 결과
- 기업의 운영 타격 및 브랜드 신뢰도 훼손
- 공격 사실을 늦게 인지하는 경우가 많아 피해가 심화
- APT(지능형 지속 위협)
- 2025년 공급망 보안 전망
- SW와 IT 시스템에 대한 의존도 및 공급망의 복잡성이 높아지면서 공격 빈도 증가
- KISA, ‘2025년 사이버보안 10대 이슈’로 공급망 보안을 선정
- 보안이 취약한 중소기업이 주요 타깃으로 분석됨
- 정부와 보안 기업의 대응
- 정부의 정책적 접근
- SBOM(Software Bill of Materials) 실증 연구 추진
- 주요 대상의 공급망 보안 역량 강화
- 글로벌 공급망 위협 대응 방안 마련
- 디지털 서비스 생명주기를 고려한 전 단계 보안 적용
- 민간·공공 분야에 적용 가능한 보안 점검 기준 도입
- 한국형 공급망 보안 가이드라인 개발
- SBOM(Software Bill of Materials) 실증 연구 추진
- 보안 기업의 제안
- SW 공급망 가시성 확보
- 협력업체 대상 주기적 보안 감사
- 중소기업 보안 역량 강화 훈련
- 선제적 취약점 해결과 신속 대응 체계 구축
- 정부의 정책적 접근
- SW 공급망 보안 대응 방안
- SBOM 도입
- SW 개발 및 배포 과정의 모든 구성요소를 투명하게 관리
- 개발자의 책임성을 강화하고, 글로벌 기준에 부합하는 보안 체계 마련
- 공급망 보안 점검 기준
- 협력업체 보안 감사와 상시 모니터링 시스템 구축
- 보안 강화를 위한 DevOps 통합 보안 적용
- 보안 훈련과 역량 강화
- 중소기업 및 협력업체 대상 교육 및 대응 훈련
- 신속한 취약점 발견과 대응 프로세스 마련
- SBOM 도입
- 결론
- 2025년은 SW 공급망 보안 위협이 더욱 복잡해질 것으로 예상되며, 공급망 보안 관리가 기업과 정부의 최우선 과제가 되어야 함
- 기업은 협력업체와 공급망 전반에 걸쳐 보안 가시성을 확보하고 지속적인 점검과 강화를 통해 공급망 보안 역량을 높여야 함
- 정부는 국제 기준에 맞춘 한국형 가이드라인과 SBOM 기반 정책을 통해 글로벌 경쟁력을 갖춘 공급망 보안 체계를 구축해야 함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 소프트웨어 공급망 보안 시장의 동향과 전망 (0) | 2025.01.13 |
|---|---|
| 2025년 주요 IT 시장 전망: 생성형 AI와 정보보안의 대격변 (0) | 2025.01.13 |
| 제로트러스트 2.0 시대의 본격화 (0) | 2025.01.13 |
| 개인정보 가이드라인 및 안내서 전면 정비 (0) | 2025.01.13 |
| 최근 발생한 주요 피싱 및 스미싱 사례 분석 (0) | 2025.01.13 |