위험하다, 위험하다, 아무리 말을 해도 보안의 효과는 거의 나타나지 않는다. 어디가 얼마나 위험하며 어떤 결과가 야기될 수 있는지까지 설명해줄 수 있어야 겨우 관심을 끌 수 있을까 말까다. 공급망의 위험에 대한 얘기가 자꾸만 나오는 이 때, 마이터가 새로운 프레임워크를 거의 완성시켰다.
[보안뉴스 문가용 기자] 현 시점에서 보안 업계의 가장 큰 이슈 중 하나는 공급망이다. 솔라윈즈(SolarWinds) 사태와 로그4j(Log4j) 사태 등 굵직한 사건들이 꾸준히 터지면서 현대 사회의 소프트웨어 공급망이 얼마나 취약한지가 노골적으로 드러났기 때문이다. 이에 마이터 코퍼레이션(MITRE Corporation)이 공급망 위협으로 인한 위험도가 얼마나 되는지 측정할 수 있게 해 주는 프레임워크의 초안을 마련했다.
[이미지 = utoimage]
이 프로토타입 프레임워크의 이름은 ‘시스템 오브 트러스트(System of Trust, SoT)’로, 공급자와 공급물, 서비스 제공자를 평가하는 표준 방법론이라고 정리할 수 있다. 마이터의 수석 소프트웨어 공급망 엔지니어인 로버트 마틴(Robert Martin)은 “보안 팀만이 아니라 회계사, 변호사, 운영 관리자 등도 공급망의 구조를 이해하고 평가하는 데 활용할 수 있다”고 설명한다. “지금 당장 연결될 필요가 없는 기본 기능들을 조직하고 합치는 데 활용될 수 있는 프레임워크입니다. 즉 연결되어 있냐 없냐와 상관 없이 모든 소프트웨어와 서비스들을 검사할 수 있게 한다는 게 SoT의 기본 바탕입니다.”
SoT가 정식으로 발표되는 건 다음 달 샌프란시스코에서 열릴 RSA 컨퍼런스에서다. 여기에서 SoT를 소개함으로써 공급망 보안의 첫 번째 단추가 공급망 위험도에 대한 객관적이고 신뢰할 만한 평가 체계라는 걸 강조할 예정이라고 마틴은 설명한다. “현재까지 SoT를 접한 전문가들의 반응은 매우 긍정적이었습니다. RSA에서도 보안 커뮤니티의 지지를 이끌어내는 게 그리 어려울 것 같지 않습니다.”
마이터 코퍼레이션은 CVE라는 취약점 관리 시스템을 관리하는 것으로 가장 널리 알려져 있다. 그리고 요 몇 년 사이에는 실제 해킹 단체들이 사용하는 공격 기법들을 모아 둔 네트워크 진단 프레임워크인 어택(ATT&CK)을 통해 더 유명해진 비영리 단체다. 이번 SoT에 대한 보다 상세한 발표를 통해 공급망 보안에 관한 통일된 방법론을 제시할 것이라고 마틴은 설명한다. “현재 SoT 프레임워크는 12개의 리스크 영역을 규정하고 있습니다. 그리고 기업들이 자기 평가를 위해 물어야 할 질문들이 400개 넘게 포함되어 있고요.”
모든 위험 요인들은 일종의 점수 배정 알고리즘을 기반으로 하여 평가된다. 이 점수를 바탕으로 공급자가 어떤 종류의 위험에 특히 위험하거나 비교적 안전한지를 파악할 수 있게 된다. 또한 정량적인 결과를 내기 때문에 보다 명확하게 대책을 마련할 수 있다는 것도 SoT의 강점이라고 마이터 측은 설명한다.
소프트웨어 물자표
마틴은 소프트웨어 공급망 보안을 논하면서 ‘소프트웨어 물자표(SBOM)’를 빼놓을 수 없다고 말하며 SoT 역시 바로 이 소프트웨어 물자표 체제와 관련되어 있다고 말한다. “소프트웨어 공급망 보안은, 소프트웨어를 구성하는 모든 요소들을 보다 객관적으로 신뢰할 수 있도록 해 줍니다. 소프트웨어 물자표는 그 신뢰 형성에 직접적인 도움을 주는 제도이고요. ‘이 소프트웨어를 내가 신뢰할 수 있는가?’에 대하여 객관적인 자료를 제시해 주는 것이 이 물자표라는 것이죠.”
그렇다면 SoT와 SBOM의 차이는 무엇일까? SBOM을 정착시키면 되는데, 굳이 왜 SoT라는 프레임워크를 새로 만들어 보안 행사에서 발표하는 것일까? “SBOM을 재체하려는 게 아닙니다. SoT는 기존 위험 관리 모델에 대한 대체재에 가깝습니다. 기존의 위험 관리 모델은 확률이나 개연성과 같은 개념과 맞물려 있었지만 SoT는 보다 분명하고 정량적인 점수 체계로 관리되며, 이를 통해 ‘공급망이 실제 지금 어느 정도로 취약한가?’를 알려줍니다. 지속적으로 위험성을 평가할 수 있게 해주는 것이 SoT라면, SBOM은 신뢰의 근거를 확인시켜주는 것입니다.”
SoT를 제대로 출시하고 나서 마이터는 업계와 일반인들의 피드백을 접수할 것이라고 한다. “시장의 반응을 통해 자동화 할 부분을 찾아내고, 실제 자동화를 적극 도입해 평가를 손쉽게 만들어주려고 합니다. 그리고 여러 소프트웨어 업체들의 솔루션이나 플랫폼에 통합되기 쉽게 만들고요. SoT에서 사용되는 용어를 업계 내에 퍼트리는 것도 중요한 절차가 될 것입니다.” 마틴의 설명이다. “저희가 이번 프레임워크로 이루려 하는 건 공급망까지 포함한 위험 평가 문화를 기업들 사이에 정착시키는 겁니다. 지금까지는 기업들이 회사 바깥의 요소들까지 위험 모델링에 포함시키지 않는 게 보통이었죠.”
3줄 요약
1. 공급망이 위험하다고 하는데, 사실 그 위험성을 평가할 명확한 방법이 없음.
2. 이에 마이터 코퍼레이션이 공급망 위험성 평가 위한 프레임워크 개발.
3. 프레임워크 통해 공급망에 대한 리스크 역시 기업이 평가해야 한다는 사실을 널리 알리는 것이 목적.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 현 시점에서 보안 업계의 가장 큰 이슈 중 하나는 공급망이다. 솔라윈즈(SolarWinds) 사태와 로그4j(Log4j) 사태 등 굵직한 사건들이 꾸준히 터지면서 현대 사회의 소프트웨어 공급망이 얼마나 취약한지가 노골적으로 드러났기 때문이다. 이에 마이터 코퍼레이션(MITRE Corporation)이 공급망 위협으로 인한 위험도가 얼마나 되는지 측정할 수 있게 해 주는 프레임워크의 초안을 마련했다.
[이미지 = utoimage]
이 프로토타입 프레임워크의 이름은 ‘시스템 오브 트러스트(System of Trust, SoT)’로, 공급자와 공급물, 서비스 제공자를 평가하는 표준 방법론이라고 정리할 수 있다. 마이터의 수석 소프트웨어 공급망 엔지니어인 로버트 마틴(Robert Martin)은 “보안 팀만이 아니라 회계사, 변호사, 운영 관리자 등도 공급망의 구조를 이해하고 평가하는 데 활용할 수 있다”고 설명한다. “지금 당장 연결될 필요가 없는 기본 기능들을 조직하고 합치는 데 활용될 수 있는 프레임워크입니다. 즉 연결되어 있냐 없냐와 상관 없이 모든 소프트웨어와 서비스들을 검사할 수 있게 한다는 게 SoT의 기본 바탕입니다.”
SoT가 정식으로 발표되는 건 다음 달 샌프란시스코에서 열릴 RSA 컨퍼런스에서다. 여기에서 SoT를 소개함으로써 공급망 보안의 첫 번째 단추가 공급망 위험도에 대한 객관적이고 신뢰할 만한 평가 체계라는 걸 강조할 예정이라고 마틴은 설명한다. “현재까지 SoT를 접한 전문가들의 반응은 매우 긍정적이었습니다. RSA에서도 보안 커뮤니티의 지지를 이끌어내는 게 그리 어려울 것 같지 않습니다.”
마이터 코퍼레이션은 CVE라는 취약점 관리 시스템을 관리하는 것으로 가장 널리 알려져 있다. 그리고 요 몇 년 사이에는 실제 해킹 단체들이 사용하는 공격 기법들을 모아 둔 네트워크 진단 프레임워크인 어택(ATT&CK)을 통해 더 유명해진 비영리 단체다. 이번 SoT에 대한 보다 상세한 발표를 통해 공급망 보안에 관한 통일된 방법론을 제시할 것이라고 마틴은 설명한다. “현재 SoT 프레임워크는 12개의 리스크 영역을 규정하고 있습니다. 그리고 기업들이 자기 평가를 위해 물어야 할 질문들이 400개 넘게 포함되어 있고요.”
모든 위험 요인들은 일종의 점수 배정 알고리즘을 기반으로 하여 평가된다. 이 점수를 바탕으로 공급자가 어떤 종류의 위험에 특히 위험하거나 비교적 안전한지를 파악할 수 있게 된다. 또한 정량적인 결과를 내기 때문에 보다 명확하게 대책을 마련할 수 있다는 것도 SoT의 강점이라고 마이터 측은 설명한다.
소프트웨어 물자표
마틴은 소프트웨어 공급망 보안을 논하면서 ‘소프트웨어 물자표(SBOM)’를 빼놓을 수 없다고 말하며 SoT 역시 바로 이 소프트웨어 물자표 체제와 관련되어 있다고 말한다. “소프트웨어 공급망 보안은, 소프트웨어를 구성하는 모든 요소들을 보다 객관적으로 신뢰할 수 있도록 해 줍니다. 소프트웨어 물자표는 그 신뢰 형성에 직접적인 도움을 주는 제도이고요. ‘이 소프트웨어를 내가 신뢰할 수 있는가?’에 대하여 객관적인 자료를 제시해 주는 것이 이 물자표라는 것이죠.”
그렇다면 SoT와 SBOM의 차이는 무엇일까? SBOM을 정착시키면 되는데, 굳이 왜 SoT라는 프레임워크를 새로 만들어 보안 행사에서 발표하는 것일까? “SBOM을 재체하려는 게 아닙니다. SoT는 기존 위험 관리 모델에 대한 대체재에 가깝습니다. 기존의 위험 관리 모델은 확률이나 개연성과 같은 개념과 맞물려 있었지만 SoT는 보다 분명하고 정량적인 점수 체계로 관리되며, 이를 통해 ‘공급망이 실제 지금 어느 정도로 취약한가?’를 알려줍니다. 지속적으로 위험성을 평가할 수 있게 해주는 것이 SoT라면, SBOM은 신뢰의 근거를 확인시켜주는 것입니다.”
SoT를 제대로 출시하고 나서 마이터는 업계와 일반인들의 피드백을 접수할 것이라고 한다. “시장의 반응을 통해 자동화 할 부분을 찾아내고, 실제 자동화를 적극 도입해 평가를 손쉽게 만들어주려고 합니다. 그리고 여러 소프트웨어 업체들의 솔루션이나 플랫폼에 통합되기 쉽게 만들고요. SoT에서 사용되는 용어를 업계 내에 퍼트리는 것도 중요한 절차가 될 것입니다.” 마틴의 설명이다. “저희가 이번 프레임워크로 이루려 하는 건 공급망까지 포함한 위험 평가 문화를 기업들 사이에 정착시키는 겁니다. 지금까지는 기업들이 회사 바깥의 요소들까지 위험 모델링에 포함시키지 않는 게 보통이었죠.”
3줄 요약
1. 공급망이 위험하다고 하는데, 사실 그 위험성을 평가할 명확한 방법이 없음.
2. 이에 마이터 코퍼레이션이 공급망 위험성 평가 위한 프레임워크 개발.
3. 프레임워크 통해 공급망에 대한 리스크 역시 기업이 평가해야 한다는 사실을 널리 알리는 것이 목적.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
