유기적 취약점 관리와 정보 공유...사이버 위협 대응 목표
“공급망 전체가 원팀으로 대응하는 보안 생태계 조성”
[보안뉴스 조재호 기자] 최근 SGI서울보증 랜섬웨어 공격은 무제한 로그인 시도를 막지 못한 가상사설망(VPN) 장비 취약점이 원인이 됐다. 이같은 취약점을 금융기관이 공유해 위협을 사전에 막는 플랫폼이 가동된다.
금융보안원은 올 하반기 ‘금융권 소프트웨어 공급망 보안 플랫폼’을 구축한다고 29일 밝혔다. 소프트웨어 취약점을 통합 관리해 사이버 위협에 선제 대응한다는 목표다.
▲금융권 소프트웨어 공급망 보안 플랫폼 구축 효과 [자료: 금융보안원]
이 플랫폼은 소프트웨어 개발과 배포, 업데이트 전 과정에 관여하는 조직과 기술 요소 등을 상호 연결한다.
이를 통해 IT 침해 사고의 최초 진입점이자 피해 확산점인 소프트웨어 취약점을 통합 관리하고 정보를 공유, 사이버 위협에 선제적으로 대응하고 금융권 자율 보안 역량을 강화한다.
이 플랫폼은 △금융권 취약점 통합관리 △소프트웨어 자재 명세서(SBOM) 관리체계 △버그바운티 운영 기능 등을 제공한다. 소프트웨어 공급망 전반의 위협을 실시간 식별하는 보안 가시성을 확보하고, 위협에 선제 대응할 수 있는 환경을 조성하기 위해서다.
취약점 통합 관리를 통해 보안 패치 개발부터 적용까지 전 과정을 원스톱 지원하고, 취약점 정보를 신속히 공유해 보안 패치가 나온 후 적용될 때까지 시간을 최소화한다.
▲금융권 소프트웨어 공급망 보안 플랫폼 구성도 [자료: 금융보안원]
금융사가 사용하거나 소비자에게 배포하는 소프트웨어 대한 SBOM 관리체계를 마련해 새로운 취약점이 나올 때 금융권 영향을 신속하게 분석하고 대응할 수 있도록 지원한다.
또 취약점 제보자에게 보상을 지급하는 버그바운티 제도를 도입해 제로데이 취약점 식별을 비롯해 보안 사각지대 최소화, 취약점 발굴 문화 활성화에 기여한다는 목표다.
금융보안원은 금융사, SW 개발사, 화이트해커 등 모든 이해관계자가 보안 파트너로 협력하고 참여할 수 있는 오픈 플랫폼 형태의 공급망 보안 자율 생태계 조성을 기대하고 있다. 정부 유관 기관과도 공급망 보안 정보를 공유하고 지속적으로 협력할 계획이다.
박상원 금융보안원장은 “디지털 금융 안전은 더 이상 개별 회사의 노력만으로 지킬 수 없고, 공급망 전체가 협력해 원팀으로 대응해야 한다”며 “금융권 소프트웨어 공급망 보안 생태계 조성을 위해 높은 전문성과 신뢰성을 바탕으로 참여사들이 자율적 보안 역량을 높일 수 있도록 적극 지원하겠다”고 밝혔다.
[조재호 기자(sw@boannews.com)]
“공급망 전체가 원팀으로 대응하는 보안 생태계 조성”
[보안뉴스 조재호 기자] 최근 SGI서울보증 랜섬웨어 공격은 무제한 로그인 시도를 막지 못한 가상사설망(VPN) 장비 취약점이 원인이 됐다. 이같은 취약점을 금융기관이 공유해 위협을 사전에 막는 플랫폼이 가동된다.
금융보안원은 올 하반기 ‘금융권 소프트웨어 공급망 보안 플랫폼’을 구축한다고 29일 밝혔다. 소프트웨어 취약점을 통합 관리해 사이버 위협에 선제 대응한다는 목표다.
▲금융권 소프트웨어 공급망 보안 플랫폼 구축 효과 [자료: 금융보안원]
이 플랫폼은 소프트웨어 개발과 배포, 업데이트 전 과정에 관여하는 조직과 기술 요소 등을 상호 연결한다.
이를 통해 IT 침해 사고의 최초 진입점이자 피해 확산점인 소프트웨어 취약점을 통합 관리하고 정보를 공유, 사이버 위협에 선제적으로 대응하고 금융권 자율 보안 역량을 강화한다.
이 플랫폼은 △금융권 취약점 통합관리 △소프트웨어 자재 명세서(SBOM) 관리체계 △버그바운티 운영 기능 등을 제공한다. 소프트웨어 공급망 전반의 위협을 실시간 식별하는 보안 가시성을 확보하고, 위협에 선제 대응할 수 있는 환경을 조성하기 위해서다.
취약점 통합 관리를 통해 보안 패치 개발부터 적용까지 전 과정을 원스톱 지원하고, 취약점 정보를 신속히 공유해 보안 패치가 나온 후 적용될 때까지 시간을 최소화한다.
▲금융권 소프트웨어 공급망 보안 플랫폼 구성도 [자료: 금융보안원]
금융사가 사용하거나 소비자에게 배포하는 소프트웨어 대한 SBOM 관리체계를 마련해 새로운 취약점이 나올 때 금융권 영향을 신속하게 분석하고 대응할 수 있도록 지원한다.
또 취약점 제보자에게 보상을 지급하는 버그바운티 제도를 도입해 제로데이 취약점 식별을 비롯해 보안 사각지대 최소화, 취약점 발굴 문화 활성화에 기여한다는 목표다.
금융보안원은 금융사, SW 개발사, 화이트해커 등 모든 이해관계자가 보안 파트너로 협력하고 참여할 수 있는 오픈 플랫폼 형태의 공급망 보안 자율 생태계 조성을 기대하고 있다. 정부 유관 기관과도 공급망 보안 정보를 공유하고 지속적으로 협력할 계획이다.
박상원 금융보안원장은 “디지털 금융 안전은 더 이상 개별 회사의 노력만으로 지킬 수 없고, 공급망 전체가 협력해 원팀으로 대응해야 한다”며 “금융권 소프트웨어 공급망 보안 생태계 조성을 위해 높은 전문성과 신뢰성을 바탕으로 참여사들이 자율적 보안 역량을 높일 수 있도록 적극 지원하겠다”고 밝혔다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png){kind=spacer}
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
