마이터, “공급망이 위험하다고 말하는데, 위험 평가는 제대로 하고 있는가?”

2022-05-19 16:38
  • 카카오톡
  • url
위험하다, 위험하다, 아무리 말을 해도 보안의 효과는 거의 나타나지 않는다. 어디가 얼마나 위험하며 어떤 결과가 야기될 수 있는지까지 설명해줄 수 있어야 겨우 관심을 끌 수 있을까 말까다. 공급망의 위험에 대한 얘기가 자꾸만 나오는 이 때, 마이터가 새로운 프레임워크를 거의 완성시켰다.

[보안뉴스 문가용 기자] 현 시점에서 보안 업계의 가장 큰 이슈 중 하나는 공급망이다. 솔라윈즈(SolarWinds) 사태와 로그4j(Log4j) 사태 등 굵직한 사건들이 꾸준히 터지면서 현대 사회의 소프트웨어 공급망이 얼마나 취약한지가 노골적으로 드러났기 때문이다. 이에 마이터 코퍼레이션(MITRE Corporation)이 공급망 위협으로 인한 위험도가 얼마나 되는지 측정할 수 있게 해 주는 프레임워크의 초안을 마련했다.


[이미지 = utoimage]

이 프로토타입 프레임워크의 이름은 ‘시스템 오브 트러스트(System of Trust, SoT)’로, 공급자와 공급물, 서비스 제공자를 평가하는 표준 방법론이라고 정리할 수 있다. 마이터의 수석 소프트웨어 공급망 엔지니어인 로버트 마틴(Robert Martin)은 “보안 팀만이 아니라 회계사, 변호사, 운영 관리자 등도 공급망의 구조를 이해하고 평가하는 데 활용할 수 있다”고 설명한다. “지금 당장 연결될 필요가 없는 기본 기능들을 조직하고 합치는 데 활용될 수 있는 프레임워크입니다. 즉 연결되어 있냐 없냐와 상관 없이 모든 소프트웨어와 서비스들을 검사할 수 있게 한다는 게 SoT의 기본 바탕입니다.”

SoT가 정식으로 발표되는 건 다음 달 샌프란시스코에서 열릴 RSA 컨퍼런스에서다. 여기에서 SoT를 소개함으로써 공급망 보안의 첫 번째 단추가 공급망 위험도에 대한 객관적이고 신뢰할 만한 평가 체계라는 걸 강조할 예정이라고 마틴은 설명한다. “현재까지 SoT를 접한 전문가들의 반응은 매우 긍정적이었습니다. RSA에서도 보안 커뮤니티의 지지를 이끌어내는 게 그리 어려울 것 같지 않습니다.”

마이터 코퍼레이션은 CVE라는 취약점 관리 시스템을 관리하는 것으로 가장 널리 알려져 있다. 그리고 요 몇 년 사이에는 실제 해킹 단체들이 사용하는 공격 기법들을 모아 둔 네트워크 진단 프레임워크인 어택(ATT&CK)을 통해 더 유명해진 비영리 단체다. 이번 SoT에 대한 보다 상세한 발표를 통해 공급망 보안에 관한 통일된 방법론을 제시할 것이라고 마틴은 설명한다. “현재 SoT 프레임워크는 12개의 리스크 영역을 규정하고 있습니다. 그리고 기업들이 자기 평가를 위해 물어야 할 질문들이 400개 넘게 포함되어 있고요.”

모든 위험 요인들은 일종의 점수 배정 알고리즘을 기반으로 하여 평가된다. 이 점수를 바탕으로 공급자가 어떤 종류의 위험에 특히 위험하거나 비교적 안전한지를 파악할 수 있게 된다. 또한 정량적인 결과를 내기 때문에 보다 명확하게 대책을 마련할 수 있다는 것도 SoT의 강점이라고 마이터 측은 설명한다.

소프트웨어 물자표
마틴은 소프트웨어 공급망 보안을 논하면서 ‘소프트웨어 물자표(SBOM)’를 빼놓을 수 없다고 말하며 SoT 역시 바로 이 소프트웨어 물자표 체제와 관련되어 있다고 말한다. “소프트웨어 공급망 보안은, 소프트웨어를 구성하는 모든 요소들을 보다 객관적으로 신뢰할 수 있도록 해 줍니다. 소프트웨어 물자표는 그 신뢰 형성에 직접적인 도움을 주는 제도이고요. ‘이 소프트웨어를 내가 신뢰할 수 있는가?’에 대하여 객관적인 자료를 제시해 주는 것이 이 물자표라는 것이죠.”

그렇다면 SoT와 SBOM의 차이는 무엇일까? SBOM을 정착시키면 되는데, 굳이 왜 SoT라는 프레임워크를 새로 만들어 보안 행사에서 발표하는 것일까? “SBOM을 재체하려는 게 아닙니다. SoT는 기존 위험 관리 모델에 대한 대체재에 가깝습니다. 기존의 위험 관리 모델은 확률이나 개연성과 같은 개념과 맞물려 있었지만 SoT는 보다 분명하고 정량적인 점수 체계로 관리되며, 이를 통해 ‘공급망이 실제 지금 어느 정도로 취약한가?’를 알려줍니다. 지속적으로 위험성을 평가할 수 있게 해주는 것이 SoT라면, SBOM은 신뢰의 근거를 확인시켜주는 것입니다.”

SoT를 제대로 출시하고 나서 마이터는 업계와 일반인들의 피드백을 접수할 것이라고 한다. “시장의 반응을 통해 자동화 할 부분을 찾아내고, 실제 자동화를 적극 도입해 평가를 손쉽게 만들어주려고 합니다. 그리고 여러 소프트웨어 업체들의 솔루션이나 플랫폼에 통합되기 쉽게 만들고요. SoT에서 사용되는 용어를 업계 내에 퍼트리는 것도 중요한 절차가 될 것입니다.” 마틴의 설명이다. “저희가 이번 프레임워크로 이루려 하는 건 공급망까지 포함한 위험 평가 문화를 기업들 사이에 정착시키는 겁니다. 지금까지는 기업들이 회사 바깥의 요소들까지 위험 모델링에 포함시키지 않는 게 보통이었죠.”

3줄 요약
1. 공급망이 위험하다고 하는데, 사실 그 위험성을 평가할 명확한 방법이 없음.
2. 이에 마이터 코퍼레이션이 공급망 위험성 평가 위한 프레임워크 개발.
3. 프레임워크 통해 공급망에 대한 리스크 역시 기업이 평가해야 한다는 사실을 널리 알리는 것이 목적.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 아마노코리아

    • 인콘

    • 디알에스

    • 이노뎁

    • 아이브스

    • 아이디스

    • 현대틸스
      팬틸트 / 카메라

    • 웹게이트

    • 준영테크

    • 하이크비전

    • 한화테크윈
      CCTV 카메라 / 영상감..

    • ZKTeco
      ProFace X

    • 원우이엔지
      줌카메라

    • 비전정보통신

    • 엘텍코리아

    • 동양유니텍

    • 지오멕스소프트

    • 이화트론

    • 에이치엔시큐리티(주)

    • 테크스피어
      손혈관 / 차량하부 검색기

    • 씨게이트

    • 아이쓰리시스템(주)

    • 미래정보기술(주)

    • 슈프리마
      출입통제 / 얼굴인식

    • 다후아테크놀로지코리아

    • 송암시스템

    • 경인씨엔에스
      CCTV / 자동복구장치

    • 쿠도커뮤니케이션
      인공지능 영상분석

    • 성현시스템

    • 트루엔

    • 프로브디지털

    • (주)씨유박스

    • 지에스티

    • A3시큐리티

    • (주)우경정보기술

    • 디비시스

    • (주)투윈스컴

    • 주식회사 비앤에스

    • 보쉬빌딩테크놀러지

    • AIS테크놀러지

    • EOC

    • 윈스

    • 지란지교에스앤씨

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 탄탄코어

    • 케이제이테크
      지문 / 얼굴 출입 통제기

    • 엔시드

    • 알에프코리아

    • 사라다

    • 아이엔아이
      울타리 침입 감지 시스템

    • 새눈
      CCTV 상태관리 솔루션

    • 시스매니아

    • 태정이엔지

    • 엔에스게이트

    • 코스템

    • 다원테크

    • 지엘에스이

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 두레옵트로닉스

    • (주)에이앤티글로벌

    • (주)글로벌티에쓰시엠그룹

    • 이스트컨트롤

    • (주)넥스트림

    • 티에스아이솔루션
      출입 통제 솔루션

    • 네이즈

    • 화이트박스로보틱스

    • 대산시큐리티

    • 완텍

    • 모스타

    • 포커스에이치앤에스
      지능형 / 카메라

    • (주)일산정밀

    • 메트로게이트
      시큐리티 게이트

    • 구네보코리아주식회사

    • 케이컨트롤

    • 주식회사 에스카

    • 세환엠에스(주)

    • 유진시스템코리아
      팬틸트 / 하우징

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

PC버전

닫기