우회 침투하는 'SW 공급망 공격'…"국가 차원 통합 관리 필요"
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.
"소프트웨어(SW) 인벤토리는 개별 조직‧기관이 관리할 수도 있지만 국가 차원의 통합적인 관리도 필요하다. 취약점이 발견됐을 경우 신속하게 대응할 수 있기 때문이다. 'SW 자재명세서(SBOM)' 도입, 표준계약서 변경 등 복잡한 작업이 수반된다. 한국도 태스크포스(TF) 설치 등 미국의 대통령 행정명령에 준하는 대응에 나서야 한다."
이 교수는 "미국은 지난해 5월 SW 공급망 강화를 위해 '국가 사이버보안 개선에 관한 행정명령(EO 14028)'을 공표했고 올해 9월에는 각 부처·기관을 대상으로 SW 개발 관련 공급망 보안 강화 지침을 내리는 등 체계적으로 대응하고 있다"며 "크리티컬(Critical) SW와 SBOM, 최소 검증 표준 보안 SW 개발 프레임워크, 공급망 리스크 관리 등 4개 부문으로 구분된다"고 설명했다.
이 글자크기로 변경됩니다.
(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.
[아이뉴스24 김혜경 기자] "소프트웨어(SW) 인벤토리는 개별 조직‧기관이 관리할 수도 있지만 국가 차원의 통합적인 관리도 필요하다. 취약점이 발견됐을 경우 신속하게 대응할 수 있기 때문이다. 'SW 자재명세서(SBOM)' 도입, 표준계약서 변경 등 복잡한 작업이 수반된다. 한국도 태스크포스(TF) 설치 등 미국의 대통령 행정명령에 준하는 대응에 나서야 한다."
14일 오후 서울 양재 aT센터에서 열린 '사이버보안 정책 포럼' 정기총회에서 이만희 한남대 교수는 이 같이 전했다.
SW 공급망이란 SW의 설계‧개발‧배포‧유지보수 전 과정에서 관여된 자원과 정보, 사람, 조직 등의 네트워크를 뜻한다. SW 개발과 빌드, 배포에 사용된 모든 컴포넌트와 라이브러리, 절차, 개발 도구 등이 포함된다.
SW 공급망 공격은 수명 주기 전 단계에서 사이버 공격, 내부 위협 등을 통해 악성코드화 혹은 오작동을 일으키는 모든 행위다. 해당 유형의 공격은 2019년 대비 2020년에는 430%, 지난해에는 650% 급증했다.
이 교수는 "최근 발생하는 사이버 공격의 60% 이상이 SW 공급망 공격"이라며 "2020년 6월 '골든스파이(GoldenSpy)'의 경우 한 중국은행이 중국에 진출한 서방 기업들에게 설치를 요구한 세금 관련 SW에 백도어가 설치됐던 사건으로 디자인 단계에서 공격이 탐지됐다"고 말했다.
보안업계에 따르면 최근에는 마이크로소프트(MS) 인증서가 유출, MS 서명이 탑재된 멀웨어(악성 소프트웨어)가 발견된 바 있다.
이 교수는 "미국은 지난해 5월 SW 공급망 강화를 위해 '국가 사이버보안 개선에 관한 행정명령(EO 14028)'을 공표했고 올해 9월에는 각 부처·기관을 대상으로 SW 개발 관련 공급망 보안 강화 지침을 내리는 등 체계적으로 대응하고 있다"며 "크리티컬(Critical) SW와 SBOM, 최소 검증 표준 보안 SW 개발 프레임워크, 공급망 리스크 관리 등 4개 부문으로 구분된다"고 설명했다.
크리티컬 SW란 ▲높은 권한으로 작동되거나 권한을 제어하는 SW ▲직접적인 권한을 부여받아 네트워크와 시스템에 접근할 수 있는 SW ▲시스템 운용‧데이터 접근 제어를 위해 설계된 SW ▲신뢰와 직접적인 연관이 있는 기능을 수행하는 SW ▲권한 있는 접근 방식(Privileged Access)으로 운용되는 SW 등이다.
SBOM에는 ▲공급자 ▲컴포넌트(Component) ▲컴포넌트 버전 ▲기타 고유 식별자(Other Unique Identifiers) ▲종속성 관계(Dependency Relationship) ▲SBOM 저자명 ▲타임스템프(Timestamp) 등이 포함돼야 한다.
그는 "미국 연방기관들은 현지시간으로 13일까지 크리티컬 SW 목록 등을 작성해야 한다"며 "내년 6월 11일까지는 크리티컬 SW 자체증명서를, 9월 14일까지는 모든 SW의 자체증명서를 받는 것을 의무화하는 등 공급망 보안을 강화하고 있다"고 말했다.
이어 "한국은 2019년 국가 사이버안보 기본 계획을 통해 공공기관에 도입되는 ICT 장비에 대한 공급망 보안 관리 체계를 구축했다"며 "최근에는 '제로트러스트(Zero-Trust)‧공급망 보안 포럼'을 발족하고 보안 관리체계 구축 전략과 점검 항목 고도화, SBOM 표준화를 추진하고 있다"고 덧붙였다.
/김혜경 기자(hkmind9000@inews24.com)▶네이버 채널에서 '아이뉴스24'를 구독해주세요.
▶재밌는 아이뉴스TV 영상보기▶아이뉴스24 바로가기
[ⓒ 아이뉴스24 무단전재 및 재배포 금지]
Copyright © 아이뉴스24. 무단전재 및 재배포 금지.
- 높아지는 오픈소스 SW 의존도…"제2의 로그4j 막자"
- 美 정부·산업계, 오픈소스 SW 공급망 보안 강화 '잰걸음' [IT돋보기]
- 체크막스 "오픈소스 생태계는 정글…공급망 보안 강화 필수"
- '양날의 검' 오픈소스, 시높시스 "취약점‧라이선스‧버전 관리해야"
- 디지털 인프라 흔드는 SW 공급망 위험…SBOM‧솔루션 '투트랙 대응' [데이터링]
- "눈을 의심했다"…어린이 놀이터에서 '벙커샷' 날린 중년 남성
- 윤아 이어 또 '인종차별'…방석 없이 끼여 앉힌 돌체앤가바나쇼
- 경찰, '시청역 역주행' 운전자 병원서 면담…2차 조사 조율
- 폭염 속 열린 '싸이 흠뻑쇼'…관객 4명 탈진 등으로 병원 이송
- [부음] 김동욱 동아일보 스포츠부 차장 본인상