금융권 대상 급증하는 소프트웨어 공급망 공격 대비 접근 방안 제시
[보안뉴스 이소미 기자] ‘금융 보안의 미래 혁신 테마, 제로트러스트 보안 & SW 공급망 보안’ 세미나가 5일 서울 영등포구에 위치한 전경련회관 컨퍼런스센터에서 프렌트리(대표 장창영)의 주관으로 개최됐다.
▲(왼쪽부터) 프렌트리 장창영 대표, 소프트캠프 배환국 대표, 이만희 교수, 레드펜소프트 전익찬 부사장[사진=보안뉴스]
프렌트리가 주관하고 레드펜소프트·소프트캠프·그라운드랩스가 협찬한 이번 세미나는 금융권 보안 전문가들을 대상으로 특별히 설계해 진행됐다. 이날 금융권 보안 담당자들이 자리해 향후 금융 보안 중심에 있는 핵심 테마인 제로트러스트와 소프트웨어 공급망 보안에 대한 인사이트를 공유하는 시간을 가졌다. 특히, 최근 공표된 제로트러스트 가이드라인을 기반으로 금융권 보안 전략 및 소프트웨어 공급망공격 대비를 위한 보안대책을 제시했다.
보안 트렌드의 중심으로 자리 잡은 ‘제로트러스트’의 경우, 올해 7월 과학기술정보통신부에서 ‘제로트러스트 가이드라인1.0’을 발표하면서 기준안을 마련했다. 또한, 금융권 대상으로 급증하고 있는 ‘소프트웨어 공급망 공격’은 2022년 기준으로 3년간 연평균 742%가 증가하는 추세로 국가적 과제로 부상했다.
프렌트리 장창영 대표는 ‘클라우드 환경에서의 개인정보 관리 이슈’를 주제로 금융권의 클라우드 활용 증가에 따른 개인정보 검색·관리에 대한 규정준수 및 기술 방법론에 대해 설명했다.
장 대표는 “정보보호 업무 가운데 핵심이 되는 개인정보보호 업무는 제로트러스트 기반의 관점 접근이 필요하다”면서, “현재 금융업계에서도 업무 활용을 위한 클라우드 전환이 이슈로 떠오르면서 SaaS 서비스 이용시 개인정보 및 민감정보를 검출·관리의 중요성이 대두되고 있다”고 전했다.
이어 소프트캠프의 배환국 대표는 ‘제로트러스트 전환을 통한 보안 강화와 업무 생산성 향상’을 주제로 발표를 진행했다. 핵심 내용으로 금융환경에서의 제로트러스트 구현 이슈와 리모트 브라우저를 통한 챗GPT 활용으로 가능한 업무 생산성 향상과 비용절감 방안을 제시했다.
한국정보보호학회 공급망보안연구회 회장인 한남대학교 이만희 교수는 ‘SW 공급망 보안 대응을 위한 선진사례 벤치마킹 및 우리나라 대응 방향성’을 제시했다. 이 교수는 “개발자들이 안전한 개발을 할 수 있어야 하는데 소프트웨어의 복잡성으로 인한 ‘가시성’ 문제가 가장 문제가 되고 있다”면서, “소프트웨어 내 많은 비중을 차지하는 오픈소스 관리가 중요한데, 이와 관련해서는 취약점 식별이 가능한 ‘SBOM’ 제도가 핵심”이라고 설명했다.
레드펜소프트의 전익찬 부사장은 ‘금융권 반입 소프트웨어의 공급망 공격 대응 현안 및 무결성 검증 방안’을 주제로 발표를 마무리했다. 전 부사장은 최근 이슈가 되고 있는 금융권 대상으로 가해졌던 북한발 사이버 공격 등 소프트웨어 공급망공격 실제 사례 분석을 진행했다. 이어 금융권 내부망으로 반입되는 소프트웨어의 현 대응방안의 한계점과 함께 무결성 검증 방안을 살펴봤다.
끝으로 보안관제의 사각지대인 공급망 공격 위협에 대응할 수 있는 솔루션인 ‘엑스스캔(X-SCAN)’ 데모 시간을 통해 △소프트웨어 구성요소 추출 △이전 패치 대비 변화도 모니터링 △오픈 소스 의존도 탐지 △SBOM 생성 및 소명 등을 시연하는 시간을 가졌다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>