SW공급망 공격 유형 △공개SW 보안취약점 △타사 의존성 △공용 리포지터리
△빌드 시스템 △업데이트 가로채기 △내부 리포지터리 △공급사 및 협력사 등
금보원 정혜성 수석, “사전 체크리스트로 사이버 복원력 높이고, SW공급망 침해위협 낮춰야”
[보안뉴스 김경애 기자] SW 공급망 보안 이슈가 끊이지 않고 있다. 지난 7월 크라우드스트라이크(CrowdStrike) 사이버정전 사태를 비롯해 3월 XZ Utils 백도어, 2023년 10월 Okta 공급망 공격, 이보다 앞서 9월 JetBrains 공급망 공격, 3월 I사 보안인증 SW 공격 등 공급망 관련 이슈나 공급망 사고 빈도가 늘어나며, 보안 위협이 커지고 있다.
▲SW공급망 사고[자료=금융보안원]
특히 금융권 SW 공급망의 경우 사용사이자 개발사, 그리고 공급사인 경우가 많아 피해 예방에 각별한 주의를 기울여야 한다. SW공급망 공격 유형은 △공개 SW 보안 취약점 △타사 의존성 △공용 리포지터리 △빌드 시스템 △업데이트 가로채기 △내부 리포지터리 △공급사 및 협력사 등이 있다.
금융보안원의 SW공급망 보안팀 장운영 팀장은 “최근 사고 사례에서 보듯이, 소프트웨어 공급망의 취약점 보정 또는 업데이트 과정에서 발생하는 보안 침해는 심각한 피해를 야기해 전체 공급망 생태계를 위협할 수 있다”며 “금융회사, SW개발사 등 SW 공급망 생태계 참여자들은 자율보안 역량을 강화해야 한다”고 당부했다.
▲금융권 SW공급망 생태계 개요[자료=금융보안원]
이에 SW공급망의 사전 체크리스트가 보안 강화를 위해 매우 중요하다는 지적이다. 이와 관련 금융보안원 SW공급망 보안팀 정혜성 수석은 28일 ‘금융권 SW공급망 보안 강화 전략 세미나’에서 “체크리스트를 통해 사이버 복원력은 높이고, SW공급망 침해 위협은 낮출 수 있다”고 강조했다.
SW공급망의 사전 체크리스트에 대해 정혜성 수석은 “SW 도입·운영 2개 단계로 총 30개 점검항목을 통해 SW공급망 보안을 강화해야 한다”며 “사용사가 SW 도입 시 마련해야 할 보안 정책·절차 및 관련 공급사에 대한 보안 요구사항을 수립해야 한다. SW 운영 시에는 SW 운영의 안전성 및 안정성 확보를 위한 위험관리를 고려해야 한다”고 당부했다.
▲금융권 SW공급망 보안 플랫폼 개발 추진계획[자료=금융보안원]
이에 금융보안원은 2025년 사전 체크리스트를 개발할 계획이다. 이와 관련 정혜성 수석은 “오픈소스 보급, SBOM 개발 및 배포 등 소프트웨어 개발 시 보안관리 중심으로 진행할 계획”이라며 “금융사가 SW 자체 개발 시 또는 금융사에 납품하는 SW 개발사에 적용 가능하도록 할 것”이라고 밝혔다.
이어 정 수석은 “2025년~2026년까지 금융권 SW 공급망 보안 플랫폼을 구축하고, 회원사의 요구 및 환경 변화에 유연하게 대응하겠다”며 “플랫폼의 완성도를 높이기 위해 단계적 구축을 추진하면서 시범운영과 설문조사 등을 통해 회원사의 의견을 최대한 수렴하겠다”고 말했다.
[김경애 기자(boan3@boannews.com)]
△빌드 시스템 △업데이트 가로채기 △내부 리포지터리 △공급사 및 협력사 등
금보원 정혜성 수석, “사전 체크리스트로 사이버 복원력 높이고, SW공급망 침해위협 낮춰야”
[보안뉴스 김경애 기자] SW 공급망 보안 이슈가 끊이지 않고 있다. 지난 7월 크라우드스트라이크(CrowdStrike) 사이버정전 사태를 비롯해 3월 XZ Utils 백도어, 2023년 10월 Okta 공급망 공격, 이보다 앞서 9월 JetBrains 공급망 공격, 3월 I사 보안인증 SW 공격 등 공급망 관련 이슈나 공급망 사고 빈도가 늘어나며, 보안 위협이 커지고 있다.
▲SW공급망 사고[자료=금융보안원]
특히 금융권 SW 공급망의 경우 사용사이자 개발사, 그리고 공급사인 경우가 많아 피해 예방에 각별한 주의를 기울여야 한다. SW공급망 공격 유형은 △공개 SW 보안 취약점 △타사 의존성 △공용 리포지터리 △빌드 시스템 △업데이트 가로채기 △내부 리포지터리 △공급사 및 협력사 등이 있다.
금융보안원의 SW공급망 보안팀 장운영 팀장은 “최근 사고 사례에서 보듯이, 소프트웨어 공급망의 취약점 보정 또는 업데이트 과정에서 발생하는 보안 침해는 심각한 피해를 야기해 전체 공급망 생태계를 위협할 수 있다”며 “금융회사, SW개발사 등 SW 공급망 생태계 참여자들은 자율보안 역량을 강화해야 한다”고 당부했다.
▲금융권 SW공급망 생태계 개요[자료=금융보안원]
이에 SW공급망의 사전 체크리스트가 보안 강화를 위해 매우 중요하다는 지적이다. 이와 관련 금융보안원 SW공급망 보안팀 정혜성 수석은 28일 ‘금융권 SW공급망 보안 강화 전략 세미나’에서 “체크리스트를 통해 사이버 복원력은 높이고, SW공급망 침해 위협은 낮출 수 있다”고 강조했다.
SW공급망의 사전 체크리스트에 대해 정혜성 수석은 “SW 도입·운영 2개 단계로 총 30개 점검항목을 통해 SW공급망 보안을 강화해야 한다”며 “사용사가 SW 도입 시 마련해야 할 보안 정책·절차 및 관련 공급사에 대한 보안 요구사항을 수립해야 한다. SW 운영 시에는 SW 운영의 안전성 및 안정성 확보를 위한 위험관리를 고려해야 한다”고 당부했다.
▲금융권 SW공급망 보안 플랫폼 개발 추진계획[자료=금융보안원]
이에 금융보안원은 2025년 사전 체크리스트를 개발할 계획이다. 이와 관련 정혜성 수석은 “오픈소스 보급, SBOM 개발 및 배포 등 소프트웨어 개발 시 보안관리 중심으로 진행할 계획”이라며 “금융사가 SW 자체 개발 시 또는 금융사에 납품하는 SW 개발사에 적용 가능하도록 할 것”이라고 밝혔다.
이어 정 수석은 “2025년~2026년까지 금융권 SW 공급망 보안 플랫폼을 구축하고, 회원사의 요구 및 환경 변화에 유연하게 대응하겠다”며 “플랫폼의 완성도를 높이기 위해 단계적 구축을 추진하면서 시범운영과 설문조사 등을 통해 회원사의 의견을 최대한 수렴하겠다”고 말했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
