.gif)
이만희 위원장 “2023년과 2024년은 공급망 보안 분야에서 매우 중요한 시기 될 것”
공급망 보안 관련 정책 변화...보안 위협으로부터의 보호 및 세계적 변화에 적응 도와
[보안뉴스 원병철 기자] 글로벌 보안기업 프루프포인트가 2023년 전 세계 CISO를 대상으로 한 설문조사에 참가한 약 200여명의 CISO 대다수가 공급망 보안을 최대 사이버보안 리스크로 꼽았으며, 64%의 CISO는 공급망 위험을 완화하기 위한 적절한 통제수단이 있다고 밝혔다. 이는 2022년 결과인 59%에 비해 오른 숫자다. 하지만 한국의 CISO는 53%만이 적절한 통제수단이 있다고 밝혔다. 결국 한국 기업의 절반은 공급망 보안에 대한 대책이 없다는 얘기다.
▲이만희 공급망보안연구회 위원장[사진=보안뉴스]
전 세계적으로 공급망 보안이 이슈가 되기 시작한 건 2020년 12월 미국의 솔라윈즈(SolarWinds)가 사이버공격을 당하면서다. 유지보수(업데이트) 단계를 노린 이 공격은 솔라윈즈의 시스템 내부에 침입해 업데이트 파일을 변조하고, 정상적인 업데이트 채널을 통해 사용자에게 악성파일을 전파했다. 포춘 500대 기업 중 400개 이상 기업이 사용하던 솔라윈즈였기에 이번 사건은 미국을 넘어 전 세계적인 파급효과를 일으켰고, 공급망 보안 이슈를 불러왔다.
한국정보보호학회 공급망보안연구회(위원장 이만희)는 이러한 상황 가운데 만들어졌다. 솔라윈즈를 비롯해 전 세계적으로 공급망을 통한 사이버 공격이 급증하고 있고, 특히 미국을 중심으로 공급망 보안 강화를 통한 국가 사이버보안 수준을 높이려는 움직임이 빠르게 진행되면서 우리나라 보안전문가들 역시 공급망 보안 연구의 필요성을 느꼈기 때문이다.
아울러 이들은 공급망 보안의 핵심 원천 기술은 대학과 연구소가 개발하고, 이 기술들의 사업화는 산업계가 담당하며, 마지막으로 공공기관과 국방 분야에 전체적으로 적용되도록 하는 정책개발은 군을 포함한 정부 유관기관에서 담당해야 하는 산·학·연·관·군의 협동적인 참여가 필요하다고 판단했다. 이에 이만희 교수를 필두로 한 전문가들은 이러한 산·학·연·관·군의 관련 담당자들이 참여해 관련 기술, 표준, 정책 등을 논의할 수 있는 토론의 장을 제공함으로써 국가 공급망 보안수준 향상을 도모하고, 나아가 국가 사이버 안전에 이바지하는 것을 목표로 공급망보안연구회를 만들게 되었다.
이만희 위원장, 국내 최초 CERT-KR 및 KREONet 노린 디도스 공격 등 겪으며 보안에 대한 본격 연구
공급망보안연구회를 이끌고 있는 이만희 위원장(한남대학교 컴퓨터공학과 교수)은 컴퓨터공학 학사와 석사를 거쳐 1996년 시스템공학연구소(현 한국과학기술정보연구원)에서 연구원으로 입사했다. 연구전산망 KREONet을 운영하는 슈퍼컴퓨팅센터에서 네트워크 관리와 성능 측정분야 연구를 수행하다가 당시 일하던 연구실이 국내 최초로 ‘CERT’를 운영(현 KISA 운영)하면서 네트워크 보안 분야에 처음 발을 디뎠다.
이후 과기정통부의 DNS 스푸핑 공격에도 안전한 DNSSEC 개발과제와 KREONet의 해외망을 공격한 DDoS 공격 등을 겪으면서 보안에 대해 본격적으로 연구하기 시작했다. 연구역량 향상을 위한 유학길에 올라 Architectural Security 분야로 박사과정을 마쳤다. 2010년 귀국해 국가보안기술연구소 사이버보안본부에 들어가 시스템/네트워크 분야 연구를 수행했으며, 2012년 한남대학교로 옮긴 후 다양한 보안 연구를 수행해왔다.
이만희 위원장이 공급망 보안 연구를 시작한 건 미국에서 큰 이슈가 되었던 아마존 데이터센터에 발견됐다는 스파이칩 이슈가 터진 후, 2019년 국보연으로부터 공급망 보안의 여러 이슈를 정리하고, 미국의 공급망 보안 관련 표준 및 정책을 분석하고, 한국형 정책을 제안하는 위탁과제를 수행하면서부터였다.
“당시 위탁연구는 1년으로 끝났지만, 제가 인지한 공급망 보안의 심각성에 비해 이를 해결하는 기술 및 정책이 미국을 비롯한 우리나라에 거의 없는 것을 깨닫게 되었고, 위탁과제와 관계없이 꾸준히 연구해야겠다는 마음을 먹고 계속 연구하게 되었습니다.”
공급망은 조직이 제품·서비스 공급하는 데 필요한 사람, 프로세스, 기술의 집합
그렇다면 공급망 보안이란 정확히 무엇일까? 이만희 위원장은 공급망은 조직이 제품과 서비스를 제공하는 데 필요한 모든 사람, 프로세스 및 기술의 집합이며, 여기에는 공급업체, 파트너 및 고객이 모두 포함된다고 정의했다. 아울러 공급망 보안은 다양한 위협으로부터 공급망을 보호하는 활동인데, 그 위협이란 공급망에 접근해 고객정보, 금융 데이터, 기밀정보 같은 민감한 데이터에 접근하는 데이터 유출 위협, 공급망에 접근해 제품을 변조하는 위협, 공급망의 흐름을 차단해 제품 생산 및 서비스에 차질을 일으키는 공급망 중단 위협 등이 있다.
공급망보안연구회는 이러한 공급망 보안 분야에 대한 정보를 공유하고 함께 고민하기 위해 모인 모임이다. 이만희 위원장은 처음 연구회를 만들 때만 해도 참여가 저조하지 않을까 하는 걱정도 했지만, 2022년 첫 번째 워크숍에 100여명, 2023년 두 번째 워크숍에서는 200여명이 참석하는 등 공급망 보안에 대한 많은 관심을 보여주었다고 감사해했다.
“공급망보안연구회는 크게 세 가지 중점 추진사항을 갖고 있습니다. 첫 번째는 연구회 커뮤니티 활성화와 함께 연구할 회원 확보입니다. 현재 110여명의 전문가가 모인 카톡방을 통해 매일 공급망 보안 및 주요 보안 이슈를 공유하고 있습니다. 두 번째는 공급망보안워크숍의 확대입니다. 다행이 올해 워크숍도 많은 분들이 참여해주셨고, 다양한 분야의 전문가들이 다양한 주제를 공유해주셨지만, 공급망 보안 분야가 넓은 만큼 내년에는 더욱 성장할 수 있도록 할 계획입니다. 마지막 세 번째는 공급망 보안 분야 국제협력에 앞장서는 연구회가 되려고 합니다.”
최근 추세를 볼 때 2023년과 2024년이 공급망 보안 분야의 중요한 시기가 될 것 같다는 이만희 위원장은 미국 대통령 행정명령으로 인한 소프트웨어 공급망 보안 관리와 우리나라도 공급망포럼 발족과 2024년 국가 공급망보안 관리 플랫폼 구축 등 국내외 정부와 관계기관의 공급망 보안 관련 정책 변화를 그 이유로 꼽았다.
특히, 과기정통부의 공급망보안포럼과 관계기관 공급망보안 워킹그룹은 향후 우리나라 공급망 보안의 기틀을 잡아갈 것으로 기대되며, 이만희 위원장을 비롯한 공급망보안연구회 회원들이 주축이 되어 활동하고 있다고 설명했다.
마지막으로 이만희 위원장은 미국은 2024년부터 연방정부에 납품되는 모든 소프트웨어는 안전한 소프트웨어 개발규정을 지켜야만 하며, 미국 FDA도 새로 승인되는 헬스 관련 기구에 사용되는 소프트웨어에 SBOM(Software Bill of Materials)을 제출하지 않으면 승인심사를 거부할 수 있는 법을 제정하는 등 SBOM이 공급망 보안의 새로운 이슈로 떠오르고 있다고 지적했다.
“지금 정부가 주도하는 공급망 보안 관련 정책 변화는 우리나라를 공급망 보안 위협으로부터 보호하는 것이기도 하지만, 국내 기업들이 세계적 변화에 적응하도록 돕기 위한 목적도 있습니다. 공급망 보안을 또 다른 규제로 생각하기보다, 필연적으로 다가올 새로운 변화라고 받아들이고 보다 적극적으로 변화에 나서 주시길 바랍니다. 이에 관해서 궁금한 점이 있거나 발표를 원하시면 언제든지 달려가도록 하겠습니다.”
[원병철 기자(boanone@boannews.com)]
공급망 보안 관련 정책 변화...보안 위협으로부터의 보호 및 세계적 변화에 적응 도와
[보안뉴스 원병철 기자] 글로벌 보안기업 프루프포인트가 2023년 전 세계 CISO를 대상으로 한 설문조사에 참가한 약 200여명의 CISO 대다수가 공급망 보안을 최대 사이버보안 리스크로 꼽았으며, 64%의 CISO는 공급망 위험을 완화하기 위한 적절한 통제수단이 있다고 밝혔다. 이는 2022년 결과인 59%에 비해 오른 숫자다. 하지만 한국의 CISO는 53%만이 적절한 통제수단이 있다고 밝혔다. 결국 한국 기업의 절반은 공급망 보안에 대한 대책이 없다는 얘기다.
▲이만희 공급망보안연구회 위원장[사진=보안뉴스]
전 세계적으로 공급망 보안이 이슈가 되기 시작한 건 2020년 12월 미국의 솔라윈즈(SolarWinds)가 사이버공격을 당하면서다. 유지보수(업데이트) 단계를 노린 이 공격은 솔라윈즈의 시스템 내부에 침입해 업데이트 파일을 변조하고, 정상적인 업데이트 채널을 통해 사용자에게 악성파일을 전파했다. 포춘 500대 기업 중 400개 이상 기업이 사용하던 솔라윈즈였기에 이번 사건은 미국을 넘어 전 세계적인 파급효과를 일으켰고, 공급망 보안 이슈를 불러왔다.
한국정보보호학회 공급망보안연구회(위원장 이만희)는 이러한 상황 가운데 만들어졌다. 솔라윈즈를 비롯해 전 세계적으로 공급망을 통한 사이버 공격이 급증하고 있고, 특히 미국을 중심으로 공급망 보안 강화를 통한 국가 사이버보안 수준을 높이려는 움직임이 빠르게 진행되면서 우리나라 보안전문가들 역시 공급망 보안 연구의 필요성을 느꼈기 때문이다.
아울러 이들은 공급망 보안의 핵심 원천 기술은 대학과 연구소가 개발하고, 이 기술들의 사업화는 산업계가 담당하며, 마지막으로 공공기관과 국방 분야에 전체적으로 적용되도록 하는 정책개발은 군을 포함한 정부 유관기관에서 담당해야 하는 산·학·연·관·군의 협동적인 참여가 필요하다고 판단했다. 이에 이만희 교수를 필두로 한 전문가들은 이러한 산·학·연·관·군의 관련 담당자들이 참여해 관련 기술, 표준, 정책 등을 논의할 수 있는 토론의 장을 제공함으로써 국가 공급망 보안수준 향상을 도모하고, 나아가 국가 사이버 안전에 이바지하는 것을 목표로 공급망보안연구회를 만들게 되었다.
이만희 위원장, 국내 최초 CERT-KR 및 KREONet 노린 디도스 공격 등 겪으며 보안에 대한 본격 연구
공급망보안연구회를 이끌고 있는 이만희 위원장(한남대학교 컴퓨터공학과 교수)은 컴퓨터공학 학사와 석사를 거쳐 1996년 시스템공학연구소(현 한국과학기술정보연구원)에서 연구원으로 입사했다. 연구전산망 KREONet을 운영하는 슈퍼컴퓨팅센터에서 네트워크 관리와 성능 측정분야 연구를 수행하다가 당시 일하던 연구실이 국내 최초로 ‘CERT’를 운영(현 KISA 운영)하면서 네트워크 보안 분야에 처음 발을 디뎠다.
이후 과기정통부의 DNS 스푸핑 공격에도 안전한 DNSSEC 개발과제와 KREONet의 해외망을 공격한 DDoS 공격 등을 겪으면서 보안에 대해 본격적으로 연구하기 시작했다. 연구역량 향상을 위한 유학길에 올라 Architectural Security 분야로 박사과정을 마쳤다. 2010년 귀국해 국가보안기술연구소 사이버보안본부에 들어가 시스템/네트워크 분야 연구를 수행했으며, 2012년 한남대학교로 옮긴 후 다양한 보안 연구를 수행해왔다.
이만희 위원장이 공급망 보안 연구를 시작한 건 미국에서 큰 이슈가 되었던 아마존 데이터센터에 발견됐다는 스파이칩 이슈가 터진 후, 2019년 국보연으로부터 공급망 보안의 여러 이슈를 정리하고, 미국의 공급망 보안 관련 표준 및 정책을 분석하고, 한국형 정책을 제안하는 위탁과제를 수행하면서부터였다.
“당시 위탁연구는 1년으로 끝났지만, 제가 인지한 공급망 보안의 심각성에 비해 이를 해결하는 기술 및 정책이 미국을 비롯한 우리나라에 거의 없는 것을 깨닫게 되었고, 위탁과제와 관계없이 꾸준히 연구해야겠다는 마음을 먹고 계속 연구하게 되었습니다.”
공급망은 조직이 제품·서비스 공급하는 데 필요한 사람, 프로세스, 기술의 집합
그렇다면 공급망 보안이란 정확히 무엇일까? 이만희 위원장은 공급망은 조직이 제품과 서비스를 제공하는 데 필요한 모든 사람, 프로세스 및 기술의 집합이며, 여기에는 공급업체, 파트너 및 고객이 모두 포함된다고 정의했다. 아울러 공급망 보안은 다양한 위협으로부터 공급망을 보호하는 활동인데, 그 위협이란 공급망에 접근해 고객정보, 금융 데이터, 기밀정보 같은 민감한 데이터에 접근하는 데이터 유출 위협, 공급망에 접근해 제품을 변조하는 위협, 공급망의 흐름을 차단해 제품 생산 및 서비스에 차질을 일으키는 공급망 중단 위협 등이 있다.
공급망보안연구회는 이러한 공급망 보안 분야에 대한 정보를 공유하고 함께 고민하기 위해 모인 모임이다. 이만희 위원장은 처음 연구회를 만들 때만 해도 참여가 저조하지 않을까 하는 걱정도 했지만, 2022년 첫 번째 워크숍에 100여명, 2023년 두 번째 워크숍에서는 200여명이 참석하는 등 공급망 보안에 대한 많은 관심을 보여주었다고 감사해했다.
“공급망보안연구회는 크게 세 가지 중점 추진사항을 갖고 있습니다. 첫 번째는 연구회 커뮤니티 활성화와 함께 연구할 회원 확보입니다. 현재 110여명의 전문가가 모인 카톡방을 통해 매일 공급망 보안 및 주요 보안 이슈를 공유하고 있습니다. 두 번째는 공급망보안워크숍의 확대입니다. 다행이 올해 워크숍도 많은 분들이 참여해주셨고, 다양한 분야의 전문가들이 다양한 주제를 공유해주셨지만, 공급망 보안 분야가 넓은 만큼 내년에는 더욱 성장할 수 있도록 할 계획입니다. 마지막 세 번째는 공급망 보안 분야 국제협력에 앞장서는 연구회가 되려고 합니다.”
최근 추세를 볼 때 2023년과 2024년이 공급망 보안 분야의 중요한 시기가 될 것 같다는 이만희 위원장은 미국 대통령 행정명령으로 인한 소프트웨어 공급망 보안 관리와 우리나라도 공급망포럼 발족과 2024년 국가 공급망보안 관리 플랫폼 구축 등 국내외 정부와 관계기관의 공급망 보안 관련 정책 변화를 그 이유로 꼽았다.
특히, 과기정통부의 공급망보안포럼과 관계기관 공급망보안 워킹그룹은 향후 우리나라 공급망 보안의 기틀을 잡아갈 것으로 기대되며, 이만희 위원장을 비롯한 공급망보안연구회 회원들이 주축이 되어 활동하고 있다고 설명했다.
마지막으로 이만희 위원장은 미국은 2024년부터 연방정부에 납품되는 모든 소프트웨어는 안전한 소프트웨어 개발규정을 지켜야만 하며, 미국 FDA도 새로 승인되는 헬스 관련 기구에 사용되는 소프트웨어에 SBOM(Software Bill of Materials)을 제출하지 않으면 승인심사를 거부할 수 있는 법을 제정하는 등 SBOM이 공급망 보안의 새로운 이슈로 떠오르고 있다고 지적했다.
“지금 정부가 주도하는 공급망 보안 관련 정책 변화는 우리나라를 공급망 보안 위협으로부터 보호하는 것이기도 하지만, 국내 기업들이 세계적 변화에 적응하도록 돕기 위한 목적도 있습니다. 공급망 보안을 또 다른 규제로 생각하기보다, 필연적으로 다가올 새로운 변화라고 받아들이고 보다 적극적으로 변화에 나서 주시길 바랍니다. 이에 관해서 궁금한 점이 있거나 발표를 원하시면 언제든지 달려가도록 하겠습니다.”
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png){kind=spacer}
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
