Industry Issue

'소프트웨어 공급망 보안 가이드라인 1.0' 더 쉽게 알아보기

Software Risk Analysis
작성자
관리자
작성일
2024-06-24 17:05
조회
63

'소프트웨어 공급망 보안 가이드라인 1.0' 더 쉽게 알아보기

 

지속적으로 소프트웨어(SW) 공급망 사이버보안 위협 사례가 증가하면서 미국, 유럽 등 주요국을 중심으로 소프트웨어 구성요소 명세서(Software Bill of Materials, SBOM) 도입을 기반으로 한 SW 공급망 보안의 제도화를 추진하고 있습니다. 우리나라 기업들이 해외 주요국의 SW 공급망 보안 정책에 빠르게 선제 대응하여 무역장벽을 극복할 수 있도록 과학기술정보통신부, 국가정보원, 디지털플랫폼정부위원회에서 소프트웨어 공급망 보안의국제동향 및 소프트웨어 구성명세서(SBOM) 활용 사례를 정리한 ‘소프트웨어 공급망 보안 가이드라인 1.0’을 발간했습니다. 주요 내용은 아래와 같습니다.

 

* 가이드라인1.0 주요 내용:

1. SW 공급망 보안 추진 배경

1) SW 공급망 공격의 주요 유형 및 대상
  • SW 공급망 공격은 공급망 구성요소의 일부가 변경되어 최종 제품이 취약해지거나 임의의 SW가 포함되는 공격 유형
  • SW 개발, 변환(Build), 배포, 운영 시스템 등 모든 SW 인프라가 공격의 대상
 



 

2)국내외 주요국 SW 공급망 보안 정책

SW 공급망 보안에서 공개 SW 보안취약점 관리가 매우 중요하게 인식되고, 특히 공개 SW의 비용면에서 SBOM이 효과적인 보안취약점 관리 방안으로 대두되고 있습니다.
  • 미국 : 행정명령 (EO 14028) “SW 공급망 보안관리 의무화”
  • 미국 : FDA “의료기기 사이버보안 강화 정책”
  • EU : CRA (사이버 복원력 법 – 디지털 기기의 SBOM 제출을 의무화)
  • 일본 : SW TF (의료, 자동차, 통신 SW 분야에 걸친 SBOM 도입)
국내에서도 SBOM 기반 SW 공급망 보안 체계 확산을 위해, SBOM을 원할하게 공급(유통)할 수 있는 관리 체계를 마련할 필요가 있고, 공급망 분야 국내 기준과 글로벌 기준의 조화를 통해 국내 기업의 해외 진출을 위한 진입 장벽의 해소 역할이 필요합니다.

 

2.SW 공급망 위험관리 방안

1)SW 공급망 참여자 역할
  • 개발사 : SW의 설계, 구현, 검증 등 개발 단계에서 보안 활동을 통해 보안 취약점을 최소화해야 할 뿐만 아니라, SW에 포함된 라이브러리와 빌드 및 배포 체계의 보안성을 확보하여야 함.
  • 공급사 : 보안 요구사항 충족 여부 확인, 타사 SW의 검증, 실행 파일 테스트를 통해 SW 제품의 보안을 검증하고, 보안취약점을 발견했을 때는 고객(운영)사에 이를 알리고, 보안취약점에 대응해야 함.
  • 운영사 : 보안 요구사항과 공급망 위험관리(SCRM) 요구사항을 정의하고, 그에 따라 SW 인수테스트를 진행하며, 제품 적용 및 생명 주기 관리에 필요한 보안 및 공급망 위험관리 대책을 구현해야 함.
 



 

2)SW 구성요소의 신뢰성 확보 방안

SBOM은 SW 구성요소를 서술하는 일정의 메타 데이터로 SW 전체의 구성요소를 목록화한 것입니다. SW에 어떤 구성요소가 존재하는지 신속하게 파악하고, 위험에 대처하기 위한 도구로 SBOM 활용이 부각되고 있습니다.
  • 미국통신정보관리청(NTIA)은 SBOM을 SW 구성요소의 투명성 강화 방안으로 사용하기 위해 ①데이터 필드, ②자동화 지원, ③관행 및 프로세스 영역을 포함한 최소요건을 제시
  1. 데이터 필드: ‘공급자명’, ‘타임스탬프’, ‘저작권자’, ‘구성요소명’, ‘버전’, ‘고유식별자’, ‘종속성 관계’ 총 7개의 기본 항목을 포함
  2. 자동화 지원: 3가지(SPDX, CycloneDX, SWID) 포맷을 활용하는 것을 SBOM 공유 및 교환을 위한 자동화 요구사항으로 정의
  3. 관행 및 프로세스: SBOM을 업데이트하고 제공해야 하는 방법과 시기를 정의
  • SW공급망 참여자 별 SBOM의 필요성 및 효과성
  1. 개발자 : SW 및 타사 SW의 구성요소를 사용하여 제품을 만드는 경우가 많음, 이 경우 SW 개발 기업은 SBOM을 통해 해당 구성요소가 최신 버전인지 식별하고, 새로운 보안취약점에 신속하게 대응할 수 있음.
  2. 구매자 : SBOM을 사용하여 투명하게 보안취약점 또는 라이선스 분석을 수행할 수 있으며, 이 두 가지 분석은 제품의 전반적인 위험 수준을 평가하는 데 활용할 수 있음.
  3. 운영자 : SBOM을 활용하여 새로 발견된 보안취약점이 잠재적 위험에 노출되어 있는지를 쉽고 빠르게 확인하고 관리할 수 있음.
 

3. SBOM 기반 SW 공급망 강화 방안

1)SW 공급망 위험관리를 위한 SBOM 확산
  • 외부 SW 또는 자체 개발 SW는 다양한 공개 SW를 포함할 수 있으며, SBOM 기반 SW 공급망 보안 관리 체계를 통해 보안취약점 등 공개 SW 활용에 따른 위험에 대응 가능
  • 각 SW 개발 생명 주기 단계마다 SBOM 관리 체계를 구축하고, 보안 위험이 해소된 SW를 유통해야 함.
  1. 개발사: SDLC 전반에 걸친 SW 위험 관리를 위해 기초 데이터가 되는 SBOM 생성을 위한 필수 설비를 구축 및 활용
  2. 공급사 및 운영사: 개발사→공급(유통)사→운영사로 이어지는 SW 공급망에 대한 SBOM 유통 체계를 구축
 



 

2)SBOM 기반의 SW 공급망 보안 관리 요령
  • 대상 SW 개발언어의 호환성, 도구의 분석 알고리즘, 기업의 공급망 특성 등을 꼼꼼하게 확인하여 SBOM의 신뢰성을 높일 수 있는 적합한 SBOM 도구 선정
  • 설계-개발-공급(유통)-도입 및 운영-유지보수 등 공급망 각 단계별로 SBOM을 생성 및 공급(유통)할 수 있는 관리 체계를 구출할 것을 권고
  • 보안취약점 탐지 성능을 높이기 위해 SBOM DB 구축, NVD(NIST의 보안취약점 데이터베이스) 등과 연동 체계 구축 필요
  • 보안취약점 탐지 시, 신속하게 개발자(부서, 기업 등)에 전파하여 조치 계획을 수립하고, 고객(운영)사에도 적의 조치할 수 있는 체계 구축 필요
 

*Black Duck으로 소프트웨어 공급망 보안을 강화해보세요.

Synopsys의 Black Duck Supply Chain Edition은 포괄적인 오픈 소스 검색 ② 타사 SBOM 가져오기 및 분석 ③멀웨어 탐지 ④지속적인 위험 식별 및 모니터링 ⑤IP 위험 및 라이선스 준수 관리 ⑥산업 SBOM 표준 지원을 제공합니다. Black Duck으로 공급망 보안 위험 관리 및 식별하여 안전한 소프트웨어를 구축하세요.

 

[더 읽어보기]

참고자료: 한국인터넷진흥원 ‘소프트웨어 공급망 보안 가이드라인 1.0’ 전체본, 요약본

 

Black Duck 더 알아보기 CLICK!!!

/about-us/inquiry/
https://www.youtube.com/@softflow2018
https://blog.naver.com/softflow_group
#