Offcanvas

������ ������

낱낱이 SW 요소 공개하라··· 美 정부의 'SBOM 의무화'가 미칠 영향

바이든 행정부가 지난 5월 행정 명령을 통해 소프트웨어 재료명세서(SBOM)의 위상을 격상했다. 연방정부와 사업 계약을 맺은 기업이라면 SBOM 제출을 의무화하도록 한 것이다. 이를 계기로 기업들도 소프트웨어 공급사로부터 좀더 높은 투명성을 기대해볼 수 있게 될 전망이다.  SBOM은 소프트웨어 재료명세서(BOM ; Bill of Material)의 약칭이다. BOM은 제조 부문에서 유래된 개념으로, 특정 장치의 제작에 사용된 구성요소와 재료를 낱낱이 파악하는 데 중요한 역할을 한다.    가령, 기차의 엔진에 사용된 부품이 일정 수준의 진동에 적합한 등급을 못한 경우, 특정 선로를 달리기가 부적합할 수 있다. BOM은 이 같은 상황에서 진가를 발휘하며 SBOM 또한 마찬가지다. SBOM을 통해 특정 소프트웨어에 사용된 전용, 오픈소스 그리고 라이선스 요소에 만료되거나 불안정한 요소가 없는지 검토할 수 있다.  IDC의 리서치 디렉터 짐 머서는 "SBOM 같은 명세서는 '현재적인 요소'뿐만 아니라 '미래적인 요소'도 보여준다는 장점이 있다”라며 “SBOM을 통해 (소프트웨어의) 현재 구성요소를 파악할 수 있는 것은 물론, 각종 리스크를 피할 수 있다. 가령, 해묵은 오픈소스 소프트웨어를 사용 중인지 여부를 알 수 있다”라고 말했다.  표준 SBOM 포맷이 등장하면 일부  분야(네트워킹 등)에서 특히 유용할 수 있다. 기존의 지적 자산을 많이 활용하는 여러 스택이 얽혀 있는  영역이다. 최근 일어난 몇몇 악명 높은 보안 침해 사건들은 리플20(Ripple20)과 하트블리드(Heartbleed) 등 흔히 사용되는 소프트웨어 구성요소의 보안 결함에서 비롯됐다.  451 리서치의 정보보안 리서치 디렉터인 스콧 크로포드는 SPDX, 사이클론DX(CycloneDX) 및 SWID태그(SWIDtags) 등 일부 표준 데이터 포맷들이 SBOM과 같은 형식으로 정보를 표시한다고 전했다. 다만 각 ...

SBOM 소프트웨어 재료명세서 연방 정부 SPDX 사이클론DX OWASP

2021.07.29

바이든 행정부가 지난 5월 행정 명령을 통해 소프트웨어 재료명세서(SBOM)의 위상을 격상했다. 연방정부와 사업 계약을 맺은 기업이라면 SBOM 제출을 의무화하도록 한 것이다. 이를 계기로 기업들도 소프트웨어 공급사로부터 좀더 높은 투명성을 기대해볼 수 있게 될 전망이다.  SBOM은 소프트웨어 재료명세서(BOM ; Bill of Material)의 약칭이다. BOM은 제조 부문에서 유래된 개념으로, 특정 장치의 제작에 사용된 구성요소와 재료를 낱낱이 파악하는 데 중요한 역할을 한다.    가령, 기차의 엔진에 사용된 부품이 일정 수준의 진동에 적합한 등급을 못한 경우, 특정 선로를 달리기가 부적합할 수 있다. BOM은 이 같은 상황에서 진가를 발휘하며 SBOM 또한 마찬가지다. SBOM을 통해 특정 소프트웨어에 사용된 전용, 오픈소스 그리고 라이선스 요소에 만료되거나 불안정한 요소가 없는지 검토할 수 있다.  IDC의 리서치 디렉터 짐 머서는 "SBOM 같은 명세서는 '현재적인 요소'뿐만 아니라 '미래적인 요소'도 보여준다는 장점이 있다”라며 “SBOM을 통해 (소프트웨어의) 현재 구성요소를 파악할 수 있는 것은 물론, 각종 리스크를 피할 수 있다. 가령, 해묵은 오픈소스 소프트웨어를 사용 중인지 여부를 알 수 있다”라고 말했다.  표준 SBOM 포맷이 등장하면 일부  분야(네트워킹 등)에서 특히 유용할 수 있다. 기존의 지적 자산을 많이 활용하는 여러 스택이 얽혀 있는  영역이다. 최근 일어난 몇몇 악명 높은 보안 침해 사건들은 리플20(Ripple20)과 하트블리드(Heartbleed) 등 흔히 사용되는 소프트웨어 구성요소의 보안 결함에서 비롯됐다.  451 리서치의 정보보안 리서치 디렉터인 스콧 크로포드는 SPDX, 사이클론DX(CycloneDX) 및 SWID태그(SWIDtags) 등 일부 표준 데이터 포맷들이 SBOM과 같은 형식으로 정보를 표시한다고 전했다. 다만 각 ...

2021.07.29

트럼프, 연방 IT예산 삭감할 듯

미국 연방 정부가 IT예산을 줄일 것으로 예상된다. 하지만, 주 정부와 지방 정부가 고부가가치 IT서비스를 도입하면서 줄어든 공공 IT시장을 메워줄 것으로 기대된다. 지난주 도널드 트럼프 미국 대통령은 연방 예산이 ‘엉망진창’이라고 지적했다. 애널리스트들은 이 같은 발언에 관해 ‘현재 미화 816억 달러에 다하는 연방 IT예산이 줄어들 가능성이 있다는 의미’로 분석했다. 트럼프 행정부는 지난달 퇴임한 전 연방 CIO인 토니 스콧을 대신할 신임 최고 기술 정책관을 찾고 있다. 마이크로소프트와 월트디즈니에서 CIO를 역임했던 스콧은 2015년 2월 버락 오바마 전 대통령이 임명한 인물이다. 현재 트럼프의 예산안 담당자는 사우스 캐롤라이나 주의 공화당 의원이었던 믹 멀버다. 2010년 선출된 멀버니는 세금감시 운동을 펼치는 미국의 보수단체인 티파티(Tea Party)에서 활동했고 보수당 의원 투표소인 프리덤 코커스(Freedom Caucus)의 회원이었다. 정부 IT시장 조사 업체인 버치그로브컨설팅(Birchgrove Consulting)의 레이 비요크룬드는 멀버니가 "전체 연방 정부 예산을 10% 정도 삭감하는 안을 내놓을 것"으로 예상하며 “이는 IT예산 삭감으로 이어질 것”이라고 말했다. 비요크룬드는 조지 부시 전 대통령과 오바마 전 대통령이 IT인프라 통합을 최우선 과제로 삼기로 한 결정 때문에 IT가 단기간에 ‘견딜 수 있었다’고 이야기했다. 백악관은 3월 중순쯤 예산안을 발표할 예정이다. 비요크룬드는 "데이터센터 통합 및 클라우드 서비스 도입과 같은 전략이 완전히 성공했다고는 볼 수 없지만, 더 적은 IT비용에 관한 기준을 만들었다"고 강조했다. 이러한 노력은 트럼프 행정부가 IT비용을 줄이는 데도 도움이 될 것이다. 비요크룬드는 "IT현대화 투자가 앞으로 나아갈 때까지 보류 상태에 ...

CIO 버치그로브컨설팅 지방 정부 도날드 트럼프 미국 연방 IT예산 정보 아키텍처 주 정부 연방 정부 사이버 보안 토니 스콧 버락 오바마 포레스터 리서치 포레스터 빅데이터 온비아

2017.02.27

미국 연방 정부가 IT예산을 줄일 것으로 예상된다. 하지만, 주 정부와 지방 정부가 고부가가치 IT서비스를 도입하면서 줄어든 공공 IT시장을 메워줄 것으로 기대된다. 지난주 도널드 트럼프 미국 대통령은 연방 예산이 ‘엉망진창’이라고 지적했다. 애널리스트들은 이 같은 발언에 관해 ‘현재 미화 816억 달러에 다하는 연방 IT예산이 줄어들 가능성이 있다는 의미’로 분석했다. 트럼프 행정부는 지난달 퇴임한 전 연방 CIO인 토니 스콧을 대신할 신임 최고 기술 정책관을 찾고 있다. 마이크로소프트와 월트디즈니에서 CIO를 역임했던 스콧은 2015년 2월 버락 오바마 전 대통령이 임명한 인물이다. 현재 트럼프의 예산안 담당자는 사우스 캐롤라이나 주의 공화당 의원이었던 믹 멀버다. 2010년 선출된 멀버니는 세금감시 운동을 펼치는 미국의 보수단체인 티파티(Tea Party)에서 활동했고 보수당 의원 투표소인 프리덤 코커스(Freedom Caucus)의 회원이었다. 정부 IT시장 조사 업체인 버치그로브컨설팅(Birchgrove Consulting)의 레이 비요크룬드는 멀버니가 "전체 연방 정부 예산을 10% 정도 삭감하는 안을 내놓을 것"으로 예상하며 “이는 IT예산 삭감으로 이어질 것”이라고 말했다. 비요크룬드는 조지 부시 전 대통령과 오바마 전 대통령이 IT인프라 통합을 최우선 과제로 삼기로 한 결정 때문에 IT가 단기간에 ‘견딜 수 있었다’고 이야기했다. 백악관은 3월 중순쯤 예산안을 발표할 예정이다. 비요크룬드는 "데이터센터 통합 및 클라우드 서비스 도입과 같은 전략이 완전히 성공했다고는 볼 수 없지만, 더 적은 IT비용에 관한 기준을 만들었다"고 강조했다. 이러한 노력은 트럼프 행정부가 IT비용을 줄이는 데도 도움이 될 것이다. 비요크룬드는 "IT현대화 투자가 앞으로 나아갈 때까지 보류 상태에 ...

2017.02.27

미 연방 정부의 오픈소스 사용에 관한 '사실과 오해'

점점 더 많은 미국 연방 정부기관들이 오픈소스로 옮겨가고 있는데, 그로 인해 더 많은 취약점에 노출될 수도 있다. Credit: Flickr/Phil Richards 미국의 많은 연방 정부기관들이 오픈소스 소프트웨어 개발 승인을 받은 공용 저장소를 이용하는 것으로 알려졌다. GSA(General Services Administration) 기트허브(GitHub) 대시보드에 따르면, 236개 연방 정부기관이 총 5,254개 프로젝트 저장소를 이용하고 있다. 오픈소스 소프트웨어를 이용하거나, 개발해 IT 목적을 달성하는 연방 정부기관들이 증가하는 추세다. 더 많은 오픈소스 프로젝트를 효과적으로 준비하기 위해, 연방 정부기관은 공용 저장소와 관련한 오해와 잘못된 통념에서 사실을 가려낼 수 있어야 한다. 연방 정부기관의 오픈소스 사용을 유도하는 주요 동인은 공유 플랫폼을 이용한 비용 절감 효과다. 그러나 사피엔트 거번먼트 서비스(Sapient Government Services)의 기술 디렉터인 제이 자이프라카쉬는 "오픈소스로의 변화를 수용하려면 몇 가지를 고려해야 한다. 소프트웨어를 성공적으로 도입할 수 있도록 만드는 문화, 혁신, 아키텍처가 여기에 해당한다"고 말했다. 연방 정부기관의 보안 담당자들은 밴드왜건 효과(bandwagon effect of propaganda)에서 넘어가서는 안 된다. 유행을 좇아 오픈소스를 도입하기 전에, 자신이 소속된 기관을 이해하는 것이 아주 중요하다. 자이프라카쉬는 "정부기관은 문화와 혁신에 맞춰, 새로운 아이디어를 보상하는 방법부터 제대로 된 정책 수립까지 올바른 환경을 발전시켜야 한다. 거버넌스 부서와 보안 부서가 서로 협력하고 전문성을 공유하는 것이 최신 아이디어에서 새로운 개선에 이르기까지 모든 사람에게 도움이 되도록 만들어야 한다"고 강조했다. 자이프라카쉬의 설명에 따르면, 오픈소스는 비용 측면의 이익도 있지만 그 밖에도 특정 업체의 제품과 업그...

CSO 허트블리드 기트허브 오픈소스 프로젝트 연방 정부 베라코드 GSA 블랙덕 정부기관 취약점 CISO 밴드왜건 효과

2016.09.06

점점 더 많은 미국 연방 정부기관들이 오픈소스로 옮겨가고 있는데, 그로 인해 더 많은 취약점에 노출될 수도 있다. Credit: Flickr/Phil Richards 미국의 많은 연방 정부기관들이 오픈소스 소프트웨어 개발 승인을 받은 공용 저장소를 이용하는 것으로 알려졌다. GSA(General Services Administration) 기트허브(GitHub) 대시보드에 따르면, 236개 연방 정부기관이 총 5,254개 프로젝트 저장소를 이용하고 있다. 오픈소스 소프트웨어를 이용하거나, 개발해 IT 목적을 달성하는 연방 정부기관들이 증가하는 추세다. 더 많은 오픈소스 프로젝트를 효과적으로 준비하기 위해, 연방 정부기관은 공용 저장소와 관련한 오해와 잘못된 통념에서 사실을 가려낼 수 있어야 한다. 연방 정부기관의 오픈소스 사용을 유도하는 주요 동인은 공유 플랫폼을 이용한 비용 절감 효과다. 그러나 사피엔트 거번먼트 서비스(Sapient Government Services)의 기술 디렉터인 제이 자이프라카쉬는 "오픈소스로의 변화를 수용하려면 몇 가지를 고려해야 한다. 소프트웨어를 성공적으로 도입할 수 있도록 만드는 문화, 혁신, 아키텍처가 여기에 해당한다"고 말했다. 연방 정부기관의 보안 담당자들은 밴드왜건 효과(bandwagon effect of propaganda)에서 넘어가서는 안 된다. 유행을 좇아 오픈소스를 도입하기 전에, 자신이 소속된 기관을 이해하는 것이 아주 중요하다. 자이프라카쉬는 "정부기관은 문화와 혁신에 맞춰, 새로운 아이디어를 보상하는 방법부터 제대로 된 정책 수립까지 올바른 환경을 발전시켜야 한다. 거버넌스 부서와 보안 부서가 서로 협력하고 전문성을 공유하는 것이 최신 아이디어에서 새로운 개선에 이르기까지 모든 사람에게 도움이 되도록 만들어야 한다"고 강조했다. 자이프라카쉬의 설명에 따르면, 오픈소스는 비용 측면의 이익도 있지만 그 밖에도 특정 업체의 제품과 업그...

2016.09.06

美 연방 CIO들이 구상 중인 보안 모니터링 개선 계획 5선

미국 연방 정부가 내놓은 클라우드 중심의 상시 개방형 IT운영 체제로의 이전이 가속화되는 가운데 기관의 운영을 책임지는 테크놀로지 전문가들이 가장 많은 신경 쓰는 영역 가운데 하나는 단연 보안이다. 연방 정부 기관들은 더 이상 보안은 (과거에 그러했듯) 주어진 규제만 준수하면 되는, 일차원적 활동이 아니라는 점을 인지하게 됐다. 이제는 네트워크와 시스템에 대한 실시간의 모니터링이 요구되는 시대기 때문이다. 국토안보부와 연방총무청은 상시적 진단 및 해결 프로그램(CDM, Continuous Diagnostics and Mitigation Program)이라는 이름의 활동을 통해 이러한 과정을 규범화 하고 있다. 연방 정부는 CDM 프로그램(이는 현재 다단식 배포의 중간 단계에 와있다)을 통해 자체적으로 상용 보안 툴도 개발하려 하고 있다. 네트워크 전반으로 센서 도달 범위 확장, 결함 검색 자동화, 심각도에 따른 위협의 우선 순위 설정, 대시보드로 정보 전달을 통한 보안 상황 인식 역량 향상 등이 보안 툴 개발을 통해 연방 정부가 목표로 하는 사항들이다. 국토안보부의 연방 네트워크 복원 기능 담당 이사인 존 스트류퍼트는 “승인 권한을 네트워크의 특정 영역을 담당하는 작업자들에게만 제한적으로 제공하는 이러한 대시보드 다층-뷰 시스템을 개발한 배경에는 본부에 엄격한 보안 운영 권한을 보장하기에는 기존의 네트워크가 지나치게 복잡하고 광범위하다는 사실에 대한 기관의 인정이 있었다”고 밝혔다. 지난 주 열린 정부 IT 포럼에서 연사로 나선 스트류퍼트는 “CIO(와 CISO)의 역할은 부서의 보안 상황을 조망하는 것이다. 하지만 실상은 달랐다. 보안 활동은 중심 관리자의 통제를 벗어나 각 팀에 분산돼 이뤄졌다. 우리가 전하고픈 가장 핵심적인 교훈은 조직을 구성하는 모든 사람과 프로세스를 이해하고, 기관에 CDM 팀을 조직하라는 것이다”라고 말했다. 그는 자체 CDM 프로그램을 구성해 보안 부서와 비즈니스...

CIO CSO 리스크 모니터링 CISO 공공기관 위협 연방 정부

2014.08.28

미국 연방 정부가 내놓은 클라우드 중심의 상시 개방형 IT운영 체제로의 이전이 가속화되는 가운데 기관의 운영을 책임지는 테크놀로지 전문가들이 가장 많은 신경 쓰는 영역 가운데 하나는 단연 보안이다. 연방 정부 기관들은 더 이상 보안은 (과거에 그러했듯) 주어진 규제만 준수하면 되는, 일차원적 활동이 아니라는 점을 인지하게 됐다. 이제는 네트워크와 시스템에 대한 실시간의 모니터링이 요구되는 시대기 때문이다. 국토안보부와 연방총무청은 상시적 진단 및 해결 프로그램(CDM, Continuous Diagnostics and Mitigation Program)이라는 이름의 활동을 통해 이러한 과정을 규범화 하고 있다. 연방 정부는 CDM 프로그램(이는 현재 다단식 배포의 중간 단계에 와있다)을 통해 자체적으로 상용 보안 툴도 개발하려 하고 있다. 네트워크 전반으로 센서 도달 범위 확장, 결함 검색 자동화, 심각도에 따른 위협의 우선 순위 설정, 대시보드로 정보 전달을 통한 보안 상황 인식 역량 향상 등이 보안 툴 개발을 통해 연방 정부가 목표로 하는 사항들이다. 국토안보부의 연방 네트워크 복원 기능 담당 이사인 존 스트류퍼트는 “승인 권한을 네트워크의 특정 영역을 담당하는 작업자들에게만 제한적으로 제공하는 이러한 대시보드 다층-뷰 시스템을 개발한 배경에는 본부에 엄격한 보안 운영 권한을 보장하기에는 기존의 네트워크가 지나치게 복잡하고 광범위하다는 사실에 대한 기관의 인정이 있었다”고 밝혔다. 지난 주 열린 정부 IT 포럼에서 연사로 나선 스트류퍼트는 “CIO(와 CISO)의 역할은 부서의 보안 상황을 조망하는 것이다. 하지만 실상은 달랐다. 보안 활동은 중심 관리자의 통제를 벗어나 각 팀에 분산돼 이뤄졌다. 우리가 전하고픈 가장 핵심적인 교훈은 조직을 구성하는 모든 사람과 프로세스를 이해하고, 기관에 CDM 팀을 조직하라는 것이다”라고 말했다. 그는 자체 CDM 프로그램을 구성해 보안 부서와 비즈니스...

2014.08.28

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.6