에스트래픽, 소만사 등 8개 기업 참여해 ‘실증 모델’ 도출
내년부터 산업별 특성 고려한 공급망 보안 체계 강화 추진
[보안뉴스 조재호 기자] 한국인터넷진흥원(KISA)은 올해 추진한 ‘소프트웨어 구성 명세서(SBOM) 기반 SW 공급망 보안 모델 구축 사업’의 성과를 공개하며, 국내 기업들이 글로벌 보안 규제를 넘어설 해법을 제시했다.
▲ 이동화 KISA 공급망안전정책팀장 [자료: KISA]
KISA는 올해 60억원의 예산을 투입해 국내 8개 기업과 함께 실증 사업을 진행했다. 그결과 기업별 환경에 최적화된 ‘5대 공급망 보안 모델’을 도출하고 이를 토대로한 ‘공급망 보안 자가 진단 체크리스트’ 개발했다. 이 체크리스트는 글로벌 규제에서 요구하는 SW 개발·배포·운영 전 과정의 공급망 위험관리와 보안성 강화를 중점적으로 다뤄 글로벌 시장에서 경쟁력을 확보할 수 있도록 지원한다.
글로벌 규제 대응부터 내재화까지 공급망 보안 모델 정립
이번 사업의 핵심 성과는 기업의 개발환경과 목표를 고려해 세분화된 공급망 보안 모델 발굴이다. 공통 구축 모델을 시작으로 글로벌 규제 대응 모델에 에스트래픽(교통)·에이아이트릭스(의료)·한드림넷(네트워크)이 참여했다. 기업들은 美 교통국(WMATA)이나 식품의약국(FDA) 등 해외 발주처가 요구하는 보안 기준을 충족한 SBOM 체계를 구축해 수출 경쟁력을 입증했다.
SBOM 제출 및 공유 모델은 소만사와 휴네시온이 실증했다. 두 기업은 개발사와 수요처 간 투명한 SBOM 정보를 공유하는 플렛폼과 프로세스를 정립해 공급망 전체의 신뢰도를 높이는 데 주력했다.
또 공급망 보안 내제화 모델은 에이아이스페라와 인젠트, 알체라가 참여해, 기업 내부의 개발·운영 절차(DevOps)에 보안을 내재화하는 체계를 완성했다. 이외에도 ‘공통 구축 모델’과 ‘자가진단 모델’을 만들었다.
118개 항목 ‘자가 진단 체크리스트’ 배포, 실제 공격에 악용된 고위험 취약점 0.49%
KISA는 이번 실증 결과를 바탕으로 기업들이 스스로 보안 수준을 점검할 수 있는 ‘공급망 보안 자가 진단 체크리스트’를 개발했다. EU의 사이버복원력법(CRA)과 미국의 안전한 SW 개발 프레임워크(SSDF) 등 글로벌 주요 규제를 분석해 도출한 118개 항목으로 내년 초 안내서 형태로 배포될 예정이다.
SW 공급망 보안 점검 지원 효과도 확인됐다. KISA는 올해 115건의 기술 지원을 통해 약 23만개의 오픈소스 컴포넌트를 분석한 결과, 전체의 3.5%에서 보안 취약점을 발견했으며, 즉각적인 해킹 위협이 될 수 있는 ‘고위험 취약점’(KEV)은 0.49%로 나타났다. KISA는 이를 식별 조치해 기업들의 잠재적 위험 관리를 지원했다.
이동화 KISA 공급망안전정책팀장은 “SW 공급망의 투명성을 높이는 SBOM 공유는 이제 선택이 아닌 필수 생존 전략”이라며 “올해 성과를 바탕으로 내년에는 지원 산업군을 확대해, 각 산업의 특성을 고려한 맞춤형 공급망 보안 체계가 자리잡을 수 있도록 지원을 아끼지 않겠다”고 말했다.
[조재호 기자(sw@boannews.com)]
내년부터 산업별 특성 고려한 공급망 보안 체계 강화 추진
[보안뉴스 조재호 기자] 한국인터넷진흥원(KISA)은 올해 추진한 ‘소프트웨어 구성 명세서(SBOM) 기반 SW 공급망 보안 모델 구축 사업’의 성과를 공개하며, 국내 기업들이 글로벌 보안 규제를 넘어설 해법을 제시했다.
▲ 이동화 KISA 공급망안전정책팀장 [자료: KISA]
KISA는 올해 60억원의 예산을 투입해 국내 8개 기업과 함께 실증 사업을 진행했다. 그결과 기업별 환경에 최적화된 ‘5대 공급망 보안 모델’을 도출하고 이를 토대로한 ‘공급망 보안 자가 진단 체크리스트’ 개발했다. 이 체크리스트는 글로벌 규제에서 요구하는 SW 개발·배포·운영 전 과정의 공급망 위험관리와 보안성 강화를 중점적으로 다뤄 글로벌 시장에서 경쟁력을 확보할 수 있도록 지원한다.
글로벌 규제 대응부터 내재화까지 공급망 보안 모델 정립
이번 사업의 핵심 성과는 기업의 개발환경과 목표를 고려해 세분화된 공급망 보안 모델 발굴이다. 공통 구축 모델을 시작으로 글로벌 규제 대응 모델에 에스트래픽(교통)·에이아이트릭스(의료)·한드림넷(네트워크)이 참여했다. 기업들은 美 교통국(WMATA)이나 식품의약국(FDA) 등 해외 발주처가 요구하는 보안 기준을 충족한 SBOM 체계를 구축해 수출 경쟁력을 입증했다.
SBOM 제출 및 공유 모델은 소만사와 휴네시온이 실증했다. 두 기업은 개발사와 수요처 간 투명한 SBOM 정보를 공유하는 플렛폼과 프로세스를 정립해 공급망 전체의 신뢰도를 높이는 데 주력했다.
또 공급망 보안 내제화 모델은 에이아이스페라와 인젠트, 알체라가 참여해, 기업 내부의 개발·운영 절차(DevOps)에 보안을 내재화하는 체계를 완성했다. 이외에도 ‘공통 구축 모델’과 ‘자가진단 모델’을 만들었다.
118개 항목 ‘자가 진단 체크리스트’ 배포, 실제 공격에 악용된 고위험 취약점 0.49%
KISA는 이번 실증 결과를 바탕으로 기업들이 스스로 보안 수준을 점검할 수 있는 ‘공급망 보안 자가 진단 체크리스트’를 개발했다. EU의 사이버복원력법(CRA)과 미국의 안전한 SW 개발 프레임워크(SSDF) 등 글로벌 주요 규제를 분석해 도출한 118개 항목으로 내년 초 안내서 형태로 배포될 예정이다.
SW 공급망 보안 점검 지원 효과도 확인됐다. KISA는 올해 115건의 기술 지원을 통해 약 23만개의 오픈소스 컴포넌트를 분석한 결과, 전체의 3.5%에서 보안 취약점을 발견했으며, 즉각적인 해킹 위협이 될 수 있는 ‘고위험 취약점’(KEV)은 0.49%로 나타났다. KISA는 이를 식별 조치해 기업들의 잠재적 위험 관리를 지원했다.
이동화 KISA 공급망안전정책팀장은 “SW 공급망의 투명성을 높이는 SBOM 공유는 이제 선택이 아닌 필수 생존 전략”이라며 “올해 성과를 바탕으로 내년에는 지원 산업군을 확대해, 각 산업의 특성을 고려한 맞춤형 공급망 보안 체계가 자리잡을 수 있도록 지원을 아끼지 않겠다”고 말했다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
