Offcanvas

��������� ������

강은성의 보안 아키텍트ㅣ글로벌 보안 규제와 공급망 보안

2016년 10월 21일 아마존, 넷플릭스, 트위터 등 많은 이용자들이 있는 대형 서비스를 미국의 많은 지역에서 접속하지 못하는 사태가 벌어졌다.     이들 지역에 DNS를 제공하는 업체 Dyn이 대규모 분산 서비스거부 공격(DDoS) 공격을 받아 도메인이름 서비스(DNS)가 중단됐기 때문이었다. IP 카메라, 홈라우터 등 수십 만대의 사물인터넷(IoT) 기기를 감염시킨 미라이(Mirai) 봇넷이 이들을 동원하여 Dyn에 DDoS 공격을 한 것이다. 이 사건은 미국을 비롯한 세계 각국에서 법률 제정과 정부 정책을 통해 IoT 기기에 대한 보안 규제를 본격적으로 추진하는 계기가 됐다.  2020년 1월부터 미국 캘리포니아주에서 시행된 ‘사물인터넷 보안법’(Security of connected devices)은 캘리포니아주에서 판매되거나 판매를 위해 제공되는 ‘정보통신망 연결 기기’를 제조하거나 대신 제조하기로 계약한 제조업체에 적용되는데, 이 기기들은 다음과 같은 합리적인 보안 기능을 갖춰야 한다.    • 해당 기기의 본질과 기능에 적합  • 기기에 수집·보관·전송되는 정보에 적합  • 기기 및 기기에 보관된 모든 정보가 무단 접근, 파괴, 사용, 변경, 공개되지 않도록 보호할 수 있게 설계  • LAN 외부에 인증수단이 있는 경우에는 다음 중 하나를 충족    (1) 생산 시 사전 설정되는 패스워드는 기기마다 고유해야 함    (2) 이용자가 기기를 처음 접근권한을 허용 받기 전에 새 인증수단을 요구하는 보안 기능을 갖춤   로봇청소기를 예로 들면 로봇청소기의 본질에는 자율 이동과 청소가 포함되고, 자율 이동을 위해서는 비디오카메라로 주위 공간을 찍어서 데이터를 클라우드로 전송하여 분석한 뒤 이를 기반으로 이동하는 기능이 필요하다.    따라서 로...

강은성 강은성의 보안 아키텍트 디도스 공격 미라이 봇넷 사물인터넷 보안 공급망 보안

2022.11.14

2016년 10월 21일 아마존, 넷플릭스, 트위터 등 많은 이용자들이 있는 대형 서비스를 미국의 많은 지역에서 접속하지 못하는 사태가 벌어졌다.     이들 지역에 DNS를 제공하는 업체 Dyn이 대규모 분산 서비스거부 공격(DDoS) 공격을 받아 도메인이름 서비스(DNS)가 중단됐기 때문이었다. IP 카메라, 홈라우터 등 수십 만대의 사물인터넷(IoT) 기기를 감염시킨 미라이(Mirai) 봇넷이 이들을 동원하여 Dyn에 DDoS 공격을 한 것이다. 이 사건은 미국을 비롯한 세계 각국에서 법률 제정과 정부 정책을 통해 IoT 기기에 대한 보안 규제를 본격적으로 추진하는 계기가 됐다.  2020년 1월부터 미국 캘리포니아주에서 시행된 ‘사물인터넷 보안법’(Security of connected devices)은 캘리포니아주에서 판매되거나 판매를 위해 제공되는 ‘정보통신망 연결 기기’를 제조하거나 대신 제조하기로 계약한 제조업체에 적용되는데, 이 기기들은 다음과 같은 합리적인 보안 기능을 갖춰야 한다.    • 해당 기기의 본질과 기능에 적합  • 기기에 수집·보관·전송되는 정보에 적합  • 기기 및 기기에 보관된 모든 정보가 무단 접근, 파괴, 사용, 변경, 공개되지 않도록 보호할 수 있게 설계  • LAN 외부에 인증수단이 있는 경우에는 다음 중 하나를 충족    (1) 생산 시 사전 설정되는 패스워드는 기기마다 고유해야 함    (2) 이용자가 기기를 처음 접근권한을 허용 받기 전에 새 인증수단을 요구하는 보안 기능을 갖춤   로봇청소기를 예로 들면 로봇청소기의 본질에는 자율 이동과 청소가 포함되고, 자율 이동을 위해서는 비디오카메라로 주위 공간을 찍어서 데이터를 클라우드로 전송하여 분석한 뒤 이를 기반으로 이동하는 기능이 필요하다.    따라서 로...

2022.11.14

블로그ㅣSW 공급망 보안, ‘SBOM’만으론 부족하다

솔라윈즈(SolarWinds) 해킹 여파로 ‘공급망 보안’이 산업과 관계없이 모든 기업에서 중요한 문제로 떠올랐다.  이에 美 사이버 보안 및 인프라 보안국(CISA)은 정보통신기술(ICT) 공급망 위험 관리 태스크포스를 구성하기도 했다. 공급망 보안을 강화하는 실행 가능한 전략 개발을 목표로 공공 및 민간 기관을 통합하려는 조치다.    코얼파이어(Coalfire)의 최신 소프트웨어 공급망 위험 보고서는 “소프트웨어 공급망 및 제품 개발 라이프사이클 내에서의 위험 관리가 기존에 물리적 재고 및 장비 공급 라인의 보호만큼 중요해졌다”라고 밝혔다. 아울러 해당 보고서에서 인용된 코얼파이어와 사이버리스크 얼라이언스(CyberRisk Alliance)가 공동으로 실시한 설문조사에서는 관리자의 52%가 공격에 노출된 소프트웨어를 우려하고 있는 것으로 나타났다.  한편 CISA는 소프트웨어 공급망 공격 방어 지침을 발표했다. 여기에는 기업 및 소프트웨어 공급업체가 위험을 최소화할 수 있는 권장 사항도 포함돼 있다. 6가지 벡터는 다음과 같다.  1. 설계 2. 개발 및 생산 3. 유통 4. 획득 및 배포 5. 유지보수 6. 폐기(IT 자산 처분(ITAD)) SBOM만으로는 ‘너무나 부족’하다 코얼파이어의 제품 전략 부문 부사장 댄 코넬은 하나의 방식이 모든 경우에 다 적용될 순 없다면서, 기업마다 위험을 평가하고 이해하는 방식이 다르다고 말했다. 그는 기존 보안 관리에 서비스 수준 계약(SLA), 측정 가능한 결과 등이 어떻게 포함됐는지 언급하면서, “소프트웨어 제작 회사가 ‘SBOM만 사용하는 것’은 최소한의 접근 방식이며, 이는 너무나도 부족하다”라고 지적했다.  이어 그는 “진정한 공급망 가시성은 SBOM만으론 제공되지 않는다. SBOM을 넘어서 투명성을 확보해야 하지만 업계가 그런 욕구를 가지고 있는지는 모르겠다”라고 덧붙였다.  소프트웨어 구매를 지연시키는 위험 가시성 부족 코넬은 (...

소프트웨어 공급망 보안 솔라윈즈 해킹 공급망 보안 SBOM 위험 관리 애플리케이션 보안

2022.08.26

솔라윈즈(SolarWinds) 해킹 여파로 ‘공급망 보안’이 산업과 관계없이 모든 기업에서 중요한 문제로 떠올랐다.  이에 美 사이버 보안 및 인프라 보안국(CISA)은 정보통신기술(ICT) 공급망 위험 관리 태스크포스를 구성하기도 했다. 공급망 보안을 강화하는 실행 가능한 전략 개발을 목표로 공공 및 민간 기관을 통합하려는 조치다.    코얼파이어(Coalfire)의 최신 소프트웨어 공급망 위험 보고서는 “소프트웨어 공급망 및 제품 개발 라이프사이클 내에서의 위험 관리가 기존에 물리적 재고 및 장비 공급 라인의 보호만큼 중요해졌다”라고 밝혔다. 아울러 해당 보고서에서 인용된 코얼파이어와 사이버리스크 얼라이언스(CyberRisk Alliance)가 공동으로 실시한 설문조사에서는 관리자의 52%가 공격에 노출된 소프트웨어를 우려하고 있는 것으로 나타났다.  한편 CISA는 소프트웨어 공급망 공격 방어 지침을 발표했다. 여기에는 기업 및 소프트웨어 공급업체가 위험을 최소화할 수 있는 권장 사항도 포함돼 있다. 6가지 벡터는 다음과 같다.  1. 설계 2. 개발 및 생산 3. 유통 4. 획득 및 배포 5. 유지보수 6. 폐기(IT 자산 처분(ITAD)) SBOM만으로는 ‘너무나 부족’하다 코얼파이어의 제품 전략 부문 부사장 댄 코넬은 하나의 방식이 모든 경우에 다 적용될 순 없다면서, 기업마다 위험을 평가하고 이해하는 방식이 다르다고 말했다. 그는 기존 보안 관리에 서비스 수준 계약(SLA), 측정 가능한 결과 등이 어떻게 포함됐는지 언급하면서, “소프트웨어 제작 회사가 ‘SBOM만 사용하는 것’은 최소한의 접근 방식이며, 이는 너무나도 부족하다”라고 지적했다.  이어 그는 “진정한 공급망 가시성은 SBOM만으론 제공되지 않는다. SBOM을 넘어서 투명성을 확보해야 하지만 업계가 그런 욕구를 가지고 있는지는 모르겠다”라고 덧붙였다.  소프트웨어 구매를 지연시키는 위험 가시성 부족 코넬은 (...

2022.08.26

블로그 | 개발자가 SW 공급망에 가져야 할 질문···· '믿어도 되는가?'

Log4j는 대부분의 개발자들에게 공급망 보안 문제를 일깨우는 한 바가지의 찬물과 같았다.   우리는 지난 수십 년 동안 소프트웨어를 만들고 프로덕션 환경에 집착했다. 그러나 그 소프트웨어의 기반은 누군가의 책상 아래에 있는 패치되지 않은 젠킨스 박스나 마찬가지였다. 런타임 보호에 막대한 시간을 쏟은 다음 정작 배포할 때는 부실한 툴을 사용했기 때문이다.   소프트웨어 빌드 환경의 보안은 프로덕션 환경보다 현저히 낮다.   솔라윈즈와 코드코브 사고, 트래비스 CI 기밀 유출 사고에 이르기까지 지난 12개월 동안 일어난 여러 대형 사고가 그 결과다. 인프라 보호 기술이 발전하자 더 쉬운 방법을 찾아 나선 공격자가 공급망에서 활짝 열린 문을 발견한 것이다. 경계 보안을 뚫을 수 없다면? 오픈소스 종속 항목이나 라이브러리를 찾아 그쪽으로 들어오면 된다. 그러면 모든 고객을 공격할 수 있게 된다. 이것이 현대의 소프트웨어 공급망 해킹이다.    소프트웨어에 대한 신뢰 루트가 필요 이제는 사람에 대한 신뢰 루트, 2중 요소 인증, ID 시스템이 있고 개인의 신원을 보증하기 위한 방법도 있다. 하드웨어도 마찬가지다. 암호화 키가 있고 부팅할 때 변조되지 않았음을 신뢰할 수 있는 하드웨어가 있다.   심지어 인터넷 사용자 관점에서도 신뢰 루트가 있다. URI, URN, URL은 우리가 방문하는 사이트의 ID와 이름, 위치를 연결하는 사실상 인터넷의 네임스페이스다. SSL 인증서는 브라우저에 사이트가 안전함을 알려준다. DNS 방화벽은 사용자의 재귀적 리졸버 사이에서 캐시에 불량 요청이 들어오지 못하도록 한다. 이러한 모든 과정은 배후에서 이뤄지며 수십 년 동안 수십 억 명의 인터넷 사용자를 놀라울 만큼 효과적으로 지원해왔다.   그러나 소프트웨어 아티팩트에는 현재 이와 같은 장치가 없다.   무턱대고 많은 것을 신뢰하는 개발자 클라우드 네이티브 컴퓨팅 파운데이션(CNCF) 아티팩트 허브에...

Log4j 소프트웨어빌드환경 프로덕션환경 솔라윈즈 공급망공격 제로트러스트 공급망 보안

2022.07.15

Log4j는 대부분의 개발자들에게 공급망 보안 문제를 일깨우는 한 바가지의 찬물과 같았다.   우리는 지난 수십 년 동안 소프트웨어를 만들고 프로덕션 환경에 집착했다. 그러나 그 소프트웨어의 기반은 누군가의 책상 아래에 있는 패치되지 않은 젠킨스 박스나 마찬가지였다. 런타임 보호에 막대한 시간을 쏟은 다음 정작 배포할 때는 부실한 툴을 사용했기 때문이다.   소프트웨어 빌드 환경의 보안은 프로덕션 환경보다 현저히 낮다.   솔라윈즈와 코드코브 사고, 트래비스 CI 기밀 유출 사고에 이르기까지 지난 12개월 동안 일어난 여러 대형 사고가 그 결과다. 인프라 보호 기술이 발전하자 더 쉬운 방법을 찾아 나선 공격자가 공급망에서 활짝 열린 문을 발견한 것이다. 경계 보안을 뚫을 수 없다면? 오픈소스 종속 항목이나 라이브러리를 찾아 그쪽으로 들어오면 된다. 그러면 모든 고객을 공격할 수 있게 된다. 이것이 현대의 소프트웨어 공급망 해킹이다.    소프트웨어에 대한 신뢰 루트가 필요 이제는 사람에 대한 신뢰 루트, 2중 요소 인증, ID 시스템이 있고 개인의 신원을 보증하기 위한 방법도 있다. 하드웨어도 마찬가지다. 암호화 키가 있고 부팅할 때 변조되지 않았음을 신뢰할 수 있는 하드웨어가 있다.   심지어 인터넷 사용자 관점에서도 신뢰 루트가 있다. URI, URN, URL은 우리가 방문하는 사이트의 ID와 이름, 위치를 연결하는 사실상 인터넷의 네임스페이스다. SSL 인증서는 브라우저에 사이트가 안전함을 알려준다. DNS 방화벽은 사용자의 재귀적 리졸버 사이에서 캐시에 불량 요청이 들어오지 못하도록 한다. 이러한 모든 과정은 배후에서 이뤄지며 수십 년 동안 수십 억 명의 인터넷 사용자를 놀라울 만큼 효과적으로 지원해왔다.   그러나 소프트웨어 아티팩트에는 현재 이와 같은 장치가 없다.   무턱대고 많은 것을 신뢰하는 개발자 클라우드 네이티브 컴퓨팅 파운데이션(CNCF) 아티팩트 허브에...

2022.07.15

오픈소스 SW 보안으로의 중요한 걸음, ‘OSSSMP’란?

‘리눅스 재단(Linux Foundation)’과 ‘오픈SSF(Open-Source Security Foundation; OpenSSF)’의 계획은 오픈소스 소프트웨어 보안을 개선하고 취약점을 효과적으로 해결하기 위한 3가지 목표를 제시한다.  리눅스 재단과 오픈SSF가 ‘OSSSMP(Open-Source Software Security Mobilization Plan)’를 발표했다. 이는 소프트웨어 공급망 공격에 따른 대응조치다. 공급망은 악의적인 행위자에게 매력적인 표적이다. 솔라윈즈(SolarWinds) 및 로그4j(Log4j) 공격이 보여준 것처럼 단일 지점을 공격하여 고객 생태계 전체에 연쇄적인 영향을 미칠 수 있기 때문이다.   조 바이든 미국 대통령이 지난 2021년 발표한 ‘사이버 보안 행정명령’도 소프트웨어 공급망 보안에 초점을 맞추고 있다. 이 행정명령의 ‘소프트웨어 공급망 보안 강화(Enhancing Software Supply Chain Security)’ 섹션은 베스트 프랙티스와 가이드라인에 관한 정부, 학계, 업계의 의견을 요구했다. 현재 美 NIST는 해당 정보를 공개한 상태다. 2022년 초 백악관에서 주최한 ‘소프트웨어 시큐리티 서밋(Software Security Summit)’ 참석자들은 오픈소스 소프트웨어(Open-Source software; OSS) 보안, 생태계 개선, SBOM(Software Bill Of Materials) 도입 가속화 등을 논의했다. 아울러 연방정부는 막대한 구매력을 활용하여 안전한 개발 관행을 시행하고, 정부에 소프트웨어를 판매하는 기업들이 새로운 버전의 NIST SSDF(Secure Software Development Framework)를 준수하는지 증명하도록 촉구했다.  ‘OSSSMP’는 이러한 이니셔티브의 모멘텀이 헛되지 않도록 지원한다. 여기서는 보안 리더를 위해 OSSSMP의 핵심 내용을 정리했다.  OSSSMP의 목표 이 계획에는 3가지...

오픈소스 오픈소스 보안 OSS 리눅스 재단 오픈SSF 공급망 공격 솔라윈즈 로그4j 공급망 보안 취약점 버그 현상금 데브섹옵스 애플리케이션 보안

2022.06.02

‘리눅스 재단(Linux Foundation)’과 ‘오픈SSF(Open-Source Security Foundation; OpenSSF)’의 계획은 오픈소스 소프트웨어 보안을 개선하고 취약점을 효과적으로 해결하기 위한 3가지 목표를 제시한다.  리눅스 재단과 오픈SSF가 ‘OSSSMP(Open-Source Software Security Mobilization Plan)’를 발표했다. 이는 소프트웨어 공급망 공격에 따른 대응조치다. 공급망은 악의적인 행위자에게 매력적인 표적이다. 솔라윈즈(SolarWinds) 및 로그4j(Log4j) 공격이 보여준 것처럼 단일 지점을 공격하여 고객 생태계 전체에 연쇄적인 영향을 미칠 수 있기 때문이다.   조 바이든 미국 대통령이 지난 2021년 발표한 ‘사이버 보안 행정명령’도 소프트웨어 공급망 보안에 초점을 맞추고 있다. 이 행정명령의 ‘소프트웨어 공급망 보안 강화(Enhancing Software Supply Chain Security)’ 섹션은 베스트 프랙티스와 가이드라인에 관한 정부, 학계, 업계의 의견을 요구했다. 현재 美 NIST는 해당 정보를 공개한 상태다. 2022년 초 백악관에서 주최한 ‘소프트웨어 시큐리티 서밋(Software Security Summit)’ 참석자들은 오픈소스 소프트웨어(Open-Source software; OSS) 보안, 생태계 개선, SBOM(Software Bill Of Materials) 도입 가속화 등을 논의했다. 아울러 연방정부는 막대한 구매력을 활용하여 안전한 개발 관행을 시행하고, 정부에 소프트웨어를 판매하는 기업들이 새로운 버전의 NIST SSDF(Secure Software Development Framework)를 준수하는지 증명하도록 촉구했다.  ‘OSSSMP’는 이러한 이니셔티브의 모멘텀이 헛되지 않도록 지원한다. 여기서는 보안 리더를 위해 OSSSMP의 핵심 내용을 정리했다.  OSSSMP의 목표 이 계획에는 3가지...

2022.06.02

팔로알토 네트웍스, 프리즈마 클라우드에 SW 공급망 보안 기능 추가

팔로알토 네트웍스가 소프트웨어 공급망 내 잠재적인 취약점 및 구성 오류를 파악해 신속하게 소스를 추적하고 수정할 수 있도록 고안된 ‘프리즈마 클라우드 공급망 보안(Prisma Cloud Supply Chain Security)’ 기능을 선보였다.    회사에 따르면 프리즈마 클라우드 공급망 보안 기능은 클라우드 네이티브 애플리케이션을 구성하고 제공하기 위해 서로 연결된 구성요소에 대한 전체 스택 및 전체 라이프사이클 보호를 지원한다. 오픈소스 패키지를 비롯해 버전 컨트롤 시스템(VCS)와 같은 코드형 인프라(IaC) 파일 딜리버리 파이프라인, CI 파이프라인 등 코드에 담긴 취약점과 구성 오류를 파악할 수 있다.  주요 기능은 ▲자동 검출 ▲그래프 시각화 ▲공급망 코드 수정 ▲코드 레포지토리 검색 ▲지사 보호 규정 등이다. 이러한 기능을 통해 조직에서는 공급 파이프라인의 공격 표면과 연결된 모든 애플리케이션 및 인프라스트럭처 리소스를 보다 정확하게 평가하고, 특히 제로트러스트 아키텍처의 일부로서 프리즈마 클라우드를 구축하면 소프트웨어 공급망 공격 예방 효과를 높일 수 있다고 업체 측은 설명했다. 팔로알토 네트웍스 코리아 이희만 대표는 “프리즈마 클라우드는 개발 시작 지점에서부터 제공 경로 전체에서의 보안 취약점을 보다 쉽게 파악하고, 우선순위를 결정해 복구할 수 있게끔 소프트웨어 공급망을 시각화해 코드에서부터 클라우드 환경 전반을 보호한다”라고 말했다. ciokr@idg.co.kr

팔로알토 네트웍스 프리즈마 클라우드 공급망 보안

2022.03.24

팔로알토 네트웍스가 소프트웨어 공급망 내 잠재적인 취약점 및 구성 오류를 파악해 신속하게 소스를 추적하고 수정할 수 있도록 고안된 ‘프리즈마 클라우드 공급망 보안(Prisma Cloud Supply Chain Security)’ 기능을 선보였다.    회사에 따르면 프리즈마 클라우드 공급망 보안 기능은 클라우드 네이티브 애플리케이션을 구성하고 제공하기 위해 서로 연결된 구성요소에 대한 전체 스택 및 전체 라이프사이클 보호를 지원한다. 오픈소스 패키지를 비롯해 버전 컨트롤 시스템(VCS)와 같은 코드형 인프라(IaC) 파일 딜리버리 파이프라인, CI 파이프라인 등 코드에 담긴 취약점과 구성 오류를 파악할 수 있다.  주요 기능은 ▲자동 검출 ▲그래프 시각화 ▲공급망 코드 수정 ▲코드 레포지토리 검색 ▲지사 보호 규정 등이다. 이러한 기능을 통해 조직에서는 공급 파이프라인의 공격 표면과 연결된 모든 애플리케이션 및 인프라스트럭처 리소스를 보다 정확하게 평가하고, 특히 제로트러스트 아키텍처의 일부로서 프리즈마 클라우드를 구축하면 소프트웨어 공급망 공격 예방 효과를 높일 수 있다고 업체 측은 설명했다. 팔로알토 네트웍스 코리아 이희만 대표는 “프리즈마 클라우드는 개발 시작 지점에서부터 제공 경로 전체에서의 보안 취약점을 보다 쉽게 파악하고, 우선순위를 결정해 복구할 수 있게끔 소프트웨어 공급망을 시각화해 코드에서부터 클라우드 환경 전반을 보호한다”라고 말했다. ciokr@idg.co.kr

2022.03.24

강은성의 보안 아키텍트 | 보안공학과 보안 내재화

미-중 무역전쟁 중에 불거진 화웨이 이슈는 공급망 보안(Supply chain security) 문제를 환기시켰다. 우리 회사가 구매, 구축, 개발하는 제품과 서비스에는 다른 회사에서 만든 제품이나 부품, 서비스가 있기 마련인데, 그것이 안전한지 고민하게 된 것이다. 대규모 공급망을 보유한 세계 자동차 업계에서는 완성차 업체가 보안 요구사항을 세부적으로 기술하고, 부품 업체에게 개발 프로세스나 출시 후 보안취약점의 처리 프로세스까지 요구한다. 특히 2015년 지프 체로키 사건으로 자동차의 주행장치까지 해킹 가능성이 입증된 후로는 더욱 까다로워지는 추세다. 글로벌 기업과 경쟁·협업하는 국내 완성차 기업이나 1차 부품 기업 역시 적극적으로 대응하고 있다.  거칠게 말하면 이렇게 제품개발과 이용의 전체 생명주기에서 보안성, 안전성, 신뢰성을 확보하는 것이 보안공학(Security Engineering)의 목적이다. 소프트웨어 개발에 친숙한 분들은 소프트웨어 공학과 보안을 접목했다고 보면 이해하기 쉽다. 보안공학, 보안 내재화(Security by Design), 소프트웨어 개발 보안(SSDL: Secure Software Development Lifecycle) 등은 강조점은 조금 다르지만, 준비-요구사항 정의-설계-구현-검증-생산-출시-출시 후 활동에 이르는 제품 개발과 이용의 일부 또는 전체 단계에서 보안 활동을 정의하고 수행하고자 한다. 이제 웹 서비스나 모바일 앱과 같은 소프트웨어 제품이나 서비스뿐 아니라 무선인터넷이 가능한 각종 가전, 자동차를 개발·생산하는 웬만한 업체에서 모의해킹을 하는 것은 자연스럽다. 하지만 모의해킹은 담당자의 역량과 주어진 시간에 따라 결과의 차이가 있을 뿐 아니라 설계상의 취약점은 찾아내기 어려운 한계가 있다. 보안 내재화가 필요하다는 점은 다들 인정하는 분위기이다.  정부에서도 보안 코딩(Secure coding)을 넘어서서 소프트웨어 개발 전체 단계에서의 보안 활동을 담은 「전자정부 SW 개발·운영자를 ...

CIO Secure Software Development Lifecycle Security by Design Security Engineering Supply chain security 공급망 보안 보안 내재화 보안 코딩 보안공학 SSDL 강은성 한국인터넷진흥원 CISO SCM CTO 공급망 인공지능 5G LG전자 사물인터넷 소프트웨어 개발 보안

2020.01.13

미-중 무역전쟁 중에 불거진 화웨이 이슈는 공급망 보안(Supply chain security) 문제를 환기시켰다. 우리 회사가 구매, 구축, 개발하는 제품과 서비스에는 다른 회사에서 만든 제품이나 부품, 서비스가 있기 마련인데, 그것이 안전한지 고민하게 된 것이다. 대규모 공급망을 보유한 세계 자동차 업계에서는 완성차 업체가 보안 요구사항을 세부적으로 기술하고, 부품 업체에게 개발 프로세스나 출시 후 보안취약점의 처리 프로세스까지 요구한다. 특히 2015년 지프 체로키 사건으로 자동차의 주행장치까지 해킹 가능성이 입증된 후로는 더욱 까다로워지는 추세다. 글로벌 기업과 경쟁·협업하는 국내 완성차 기업이나 1차 부품 기업 역시 적극적으로 대응하고 있다.  거칠게 말하면 이렇게 제품개발과 이용의 전체 생명주기에서 보안성, 안전성, 신뢰성을 확보하는 것이 보안공학(Security Engineering)의 목적이다. 소프트웨어 개발에 친숙한 분들은 소프트웨어 공학과 보안을 접목했다고 보면 이해하기 쉽다. 보안공학, 보안 내재화(Security by Design), 소프트웨어 개발 보안(SSDL: Secure Software Development Lifecycle) 등은 강조점은 조금 다르지만, 준비-요구사항 정의-설계-구현-검증-생산-출시-출시 후 활동에 이르는 제품 개발과 이용의 일부 또는 전체 단계에서 보안 활동을 정의하고 수행하고자 한다. 이제 웹 서비스나 모바일 앱과 같은 소프트웨어 제품이나 서비스뿐 아니라 무선인터넷이 가능한 각종 가전, 자동차를 개발·생산하는 웬만한 업체에서 모의해킹을 하는 것은 자연스럽다. 하지만 모의해킹은 담당자의 역량과 주어진 시간에 따라 결과의 차이가 있을 뿐 아니라 설계상의 취약점은 찾아내기 어려운 한계가 있다. 보안 내재화가 필요하다는 점은 다들 인정하는 분위기이다.  정부에서도 보안 코딩(Secure coding)을 넘어서서 소프트웨어 개발 전체 단계에서의 보안 활동을 담은 「전자정부 SW 개발·운영자를 ...

2020.01.13

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.6