美 행정 명령 EO 14028 준수에 한 걸음 더 가까워져

美 행정 명령 EO 14028 준수에 한 걸음 더 가까워져

​

오늘 발표된 CISA의 자체 증명 양식 초안(draft self-attestation form)은 EO 14028 준수를 더 쉽게 이해할 수 있도록 올바른 방향으로 이끌어 줄 것이다.

바이든 대통령의 국가 사이버보안을 위한 행정 명령(EO 14028)을 준수할 방법을 찾고자 했던 사람들은 어느 정도 해답을 알게되었다.

​​

EO 14028​

대다수의 사람들은 EO 14028를 통해 소프트웨어 공급망 보안이라는 개념을 처음 접하게 되었다. 바이든 대통령은 EO 14028을 통해 사이버 보안 관행과 관련하여 개선되어야 할 중요 영역을 제시했다. 이에 따라 소프트웨어 공급망 관점에서 소프트웨어 구성요소명세서(Software Bill of Materials, SBOM) 개념이 한순간에 핵심으로 부상했다. 그리고 모든 행정 명령과 마찬가지로 바이든 대통령은 각 기관장에게 이번 행정 명령의 목표를 달성하기 위해 구체적인 업무를 실행하도록 지시했다.

​

산업 환경에 아직 적용되지 않은 EO 지침

행정 명령이 발효된 첫 해에는 지침에서 제시한 일정에 따라 일련의 기술적 문제가 해결되었다. 첫 해에는 문제가 순조롭게 해결되면서 많은 관련자들은 미국 정부에 공급되는 소프트웨어 지원 기기 및 소프트웨어 공급 업체에 대해 미국 정부가 요구하는 구체적인 계약상 의무가 무엇인지 빠르게 공유될 것이라 기대했다. 하지만 본 글이 작성된 시점에는 아직 계약 관련 내용이 공유되지 않았으며 공유가 지연되면서 계약 조건이 무엇인지에 대한 불안감 또한 증폭되었다​​. 물론 이러한 불안감이 증폭된 환경에서 사람들은 본능적으로 인지된 위험을 줄이기 위해 선제적으로 해결책을 모색하고 이를 실제로 시도한다.

이러한 과정에서 SBOM이 '행정명령 준수'의 주요 요건이라는 오판이 발생했다​. SBOM이 중요한 요건이 아니었다면 대통령 행정 명령에 SBOM라는 새로운 기술적 개념이 11회나 등장할 리가 없다고 판단한 것이다. 또한 EO 14028에 따라 미국 전기통신 및 정보청(National Telecommunications and Information Administration, NTIA)이 SBOM의 최소 사양을 정의하는 작업을 진행했기 때문에 대다수의 기관들은 그들이 생산하는 소프트웨어의 SBOM 생성이 행정 명령의 요건을 대비하는 합리적인 출발점으로 여겼던 것이다. 하지만 SBOM생성은 소프트웨어 공급망 위험 관리에 해당하지 않으며 SBOM을 보유하는 것은 EO 14028에서 제시된 모든 사항을 충족하지 않는다.

2022년 9월 관리 예산실(Office of Management and Budget, OMB)에서 M-22-18 메모를 발표하면서 미국 정부와의 사업에서 필요한 요건을 보다 잘 파악할 수 있게 되었다. 해당 메모에서 OMB는 미국 정부에 제품을 제공하는 소프트웨어 제공 업체가 애플리케이션 개발 및 보안을 비롯하여 미국 정부에 조달되는 모든 소프트웨어에 실시되는 시험을 자체적으로 증명하도록 명시하고 있다. 이에 따라 OMB는 국토안보부(Department of Homeland Security, DHS) 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency, CISA)에 자체 증명 기준 양식을 마련하도록 지시했다. 더 나아가 지난 1월에는 총무청(General Services Administration, GSA)에서 MV-23-02 메모를 발표했으며 여기에는 GSA가 2023년 6월부터 미국 정부의 모든 신규 조달에 대해 자체 증명 수집을 시작하는 것으로 명시되어 있다​​.

​

명확성을 제공하는 CISA의 새로운 증명 양식

이러한 모든 배경에 방대한 세부 정보가 있지만 OMB가 명시한 내용을 요약하면 앞으로 미국 국립표준기술연구소(National Institute of Standards and Technology, NIST)의 안전한 소프트웨어 개발 프레임워크(Secure Software Development Framework, SSDF) 에 부합하는 것이 OMB의 자체 증명 요건의 일부가 될 것이며 GSA에서 이를 시행하는 것으로 정리할 수 있다. 공급 업체들이 SBOM 생성 방법을 파악하고자 노력하고 있는 동안 OMB는 미국 정부에 공급되는 소프트웨어의 개발 및 테스트 방법을 공급 업체가 자체적으로 증명해야 한다는 더 높은 기준을 제시한 것이다.

이는 결코 쉬운 요건이 아니다. 현재 개발팀이 SSDF의 지침 또는 SSDF에서 직접 언급되는 일부 프레임워크를 이미 준수하고 있지 않은 경우 SSDF 준수한다는 것을 자체 증명하기는 어려울 것이다. 다만, SSDF의 개념을 처음 접한 기업들에게 희소식이 있다면 CISA와 OMB가 SSDF의 모든 요건을 준수할 것을 아직은 요구하고 있지 않다는 점이다​. 오늘 CISA가 발표한 자체 증명 양식 초안은 현재 SSDF의 요건 중 30개만을 명시적으로 요구하고 있다. 물론 SSDF 요건을 완전히 준수하기 위한 계획을 수립하지 않아도 된다고 말하는 것은 아니다.

진짜 희소식은 Synopsys가 EO 14028이 처음 발표된 이래로 사이버 보안 관련 요건에 대한 변화를 지속적으로 주시하고 있었다는 것이다.​ Synopsys는 EO 14028 활동을 전담하는 팀을 보유하고 있다. Synopsys는 새로운 표준을 마련하는 관련자들과 직접적으로 소통하며 전담팀은 소프트웨어 공급망 위험 관리와 관련하여 전략적인 솔루션을 마련하고자 하는 고객의 요건을 충족할 수 있도록 보장한다.

Synopsys의 전략적인 솔루션은 오늘날 Synopsys를 Gartner의 필수 AppSec 기능 부문의 선두 기업으로 자리 잡을 수 있도록 한 모든 AppSec 도구를 포함한다.​​

Synopsys의 솔루션은 계약상 의무 또는 규정으로 SBOM을 제공해야 하는 경우 SBOM 감사 서비스, 고객 SBOM 관리 활동을 지원하기 위한 프로세스 관리를 비롯해 오늘 발표된 SSDF 준수 및 자체 증명을 충족시키는 SSDF 준비 요건에 대한 지원을 포함하고 있다.

Synopsys는 소프트웨어 공급망의 현실성과 복잡성을 헤쳐 나가면서 소프트웨어 공급망에서 발생하는 비즈니스 위험을 직접 해결할 수 있는 파트너이다.

​

원문 게시일: 2023.04.27

원문 기고자: Tim Mackey

출처: https://www.synopsys.com/blogs/software-security/ssdf-eo-14028.html