구름이 통합개발환경 플랫폼 ‘구름IDE’에 보안 취약점을 분석하는 SBOM을 탑재한다. 구름은 “SW 개발 초기 단계부터 내부 취약점을 파악하고 위험 요인에 효율적으로 대응할 수 있도록 해 SW 공급망 보안을 강화하겠다”며 이같이 밝혔다. SW 공급망이란 개발, 배포, 실행, 유지보수 등 SW 활용을 둘러싼 모든 과정을 의미한다. 지난 2021년 미국 정부는 소프트웨어 공급망 보안을 강화하기 위한 행정명령을 발표했다. 이로써 미국 정부기관에 공급하는 기업이 SW 개발 단계에서 사용되는 오픈 소스의 라이선스 및 보안 취약점 정보를 담은 ‘SBOM(Software Bill of Materials)’을 작성해 제출해야 한다. 구름은 이러한 흐름을 반영해 구름IDE에 SBOM 생성 기능을 도입했다. 구름IDE 사용자는 컨테이너에서 공급자 이름, 구성요소 이름, 구성요소 버전 등을 포함한 SBOM 보고서를 생성할 수 있으며 주요 SBOM 포맷인 SPDX와 사이클론(Cyclone)DX의 형식으로 자동 출력할 수 있다. 오픈소스 취약점 정보를 식별하여 제공함으로써 SW 개발자들은 보안 위협에 대응하고 안전한 버전으로 오픈소스를 업데이트 할 수 있다. 특히 주요 정보를 다
과학기술정보통신부, 국가정보원, 디지털플랫폼정부위원회와 한국인터넷진흥원(KISA)은 18일 서울 광화문에서 간담회를 열어 '소프트웨어(SW) 공급망 보안 가이드라인'의 주요 내용을 공유하고 확산 방안을 논의했다. 모든 디지털 제품과 서비스가 네트워크로 연결되면서 SW 보안 취약점을 악용하거나 공급망에 침투해 악성코드를 삽입하는 등 SW 공급망 공격에 대한 우려가 커짐에 따라 정부는 범부처 협력을 통해 보안 가이드라인 제정을 추진 중이다. 가이드라인은 ▲디플정위의 공급망 보안 정책방향 ▲국내 전문가들의 연구 결과 ▲국산 SW에 대한 '소프트웨어 구성 명세서'(SBOM) 실증 및 SW 공급망보안포럼 논의 결과 ▲SW 공급망 보안 테스트베드 시범운영 및 민관 정책협의체 논의 결과 등 4개 장으로 구성된다. 미국과 유럽 등 주요국에서 SBOM 기반의 SW 공급망 보안 제도화를 추진하고 있다는 점에서 한국도 SBOM을 원활하게 유통·공유할 수 있는 관리체계를 마련해 확산할 필요가 있다고 명시할 예정이다. 이를 위해 SBOM 국제 표준을 소개하고, 공공기관과 민간 기업이 활용할 수 있는 'SW 개발 생명주기에 따른 SBOM 관리방안'과 국가적 차원의 'SW 공급망 보안
KMS테크놀로지는 오픈소스 거버넌스 관리 포털 시스템인 코스와이즈(KossWise)를 정식 론칭하고 금융 서비스 기업을 비롯한 대규모 기업들을 대상으로 오픈소스 소프트웨어 공급망 관리 시장 공략을 강화한다고 23일 밝혔다. 코스와이즈는 오픈소스 보안취약점 및 라이선스 점검 도구인 '블랙덕(Black Duck)'과 실시간 연동된 정보를 활용해 오픈소스 SW 사용 현황을 정확하게 점검해 파악하고, 이에 맞춰 오픈소스 사용 계획부터 프로젝트 배포에 이르는 전 과정을 통제 및 관리할 수 있는 오픈소스 거버넌스 관리 포털 시스템이다. 코스와이즈는 전체 프로젝트의 오픈소스 사용 현황 및 관리 프로세스를 확인하고, 리포지터리(Repository, 저장소)를 연동시켜 자동 점검 이후에 SPDX, CycloneDX, TTA 표준에 맞춘 SBOM(소프트웨어 구성품 명세서) 제공, 오픈소스 소프트웨어 및 보안취약점 DB를 검색, 보안위협에 대응할 수 있도록 지원한다. 또한 블랙덕에서 제공되는 다양한 플러그인(GitHub, GitLap, Jenkins, Nexus3 Repository, Npm, Gradle, Maven 등)을 결합시켜 DevSecOps, CI/CD 환경과 연동되
레드햇, 2023 쿠버네티스 보안 현황 보고서 발표 38% “보안 투자 충분치 않아”, 67% “보안 이슈로 쿠버네티스 구축 지연 경험 有” ‘컨테이너’, ‘컨테이너 런타임’, ‘도커’, ‘오케스트레이션’. 최근 클라우드 환경이 하드웨어 중심 구조에서 벗어나는 것이 트렌드로 변모함에 따라, 중요성이 대두되는 ‘쿠버네티스’와 관련한 개념들이다. 쿠버네티스는 ‘컨테이너’ 과정을 거친 애플리케이션을 ‘오케스트레이션’하는 도구다. 여기서 컨테이너는 애플리케이션 및 환경을 패키징하고 통합해 안전하게 실행하도록 하는 기술이다. 오케스트레이션은 여러 서버에 걸친 애플리케이션 컨테이너 및 사용 환경 설정을 배포·관리·확장·구성·조정 등을 통해 자동화 관리하는 프로세스다. 다시 말해, 쿠버네티스는 컨테이너화된 애플리케이션을 관리할 때 수반되는 프로세스를 자동화하는 플랫폼이다. 해당 플랫폼은 최근 성장을 위한 필수 과정으로 여겨지는 디지털 전환(DX)의 이니셔티브로 자리 잡았다. 이에 쿠버네티스를 채택하는 기업이 늘어나면서 컨테이너화된 애플리케이션에 대한 보안 위협과 그 방안이 산업의 새로운 과제로 급부상하고 있다. 레드햇은 전 세계 600명의 데브옵스(DevOps), 엔지니
디지서트(DigiCert)가 2023년 기업들이 직면하게 될 주요 보안 과제를 담은 '2023년 사이버 보안 전망'을 20일 발표했다. 디지서트는 2023년 기업에 영향을 미칠 가능성이 높은 8가지 주요 사이버 보안 트렌드를 다음과 같이 전망한다. 양자 컴퓨팅, 암호화 민첩성(crypto-agility)을 촉진할 것 2048비트 암호화를 해독하려면 현재 기술로는 헤아리기 어려울 만큼 많은 시간이 필요하다. 하지만, 뛰어난 양자 컴퓨터를 사용하면 몇 개월 안에 가능하게 될 것이다. 양자 컴퓨터가 안전한 온라인 활동에 상당한 미래 위협이 될 것이기 때문에 암호화 민첩성의 필요에 대한 관심은 더욱 높아질 것이다. 이에 따라 암호화 민첩성은 아주 가까운 미래에 경쟁력이 될 것으로 전망된다. 매터(Matter), 가정용 표준으로 자리 잡을 것 매터는 스마트홈 표준이자 스마트홈 기기의 공통언어로, 매터 표준을 준수하는 스마트홈 기기는 원활한 통신과 연결이 가능하며 보안 측면에서 안전하고 신뢰할 수 있다. 디지서트는 매터 로고가 스마트홈 기술 분야에서 소비자들이 찾는 상징물이 될 것으로 예측한다. 아태 지역의 산업용 사물인터넷(IoT) 시장은 2022년부터 2030년까지
아쿠아 시큐리티가 엔터프라이즈급 벤더로는 유일하게 미국 행정명령(EO) 14028을 준수하는 소프트웨어 공급망 보안 증명을 제공한다고 21일 밝혔다. 미 정부의 '국가 사이버 보안 개선'을 위한 행정명령은 제로트러스트 아키텍처를 연방정부에서 구현하도록 요구하고, 미 연방기관에 SW 내장 제품을 납품할 경우 SBOM(Software Bill of Materials, SW의 구성요소를 식별하기 위한 명세서) 제출을 의무화해야 한다. 이번 미 정부의 행정명령은 써드파티 소프트웨어 기업이 미국의 사이버보안을 강화하고, 미국을 악의적 사이버 행위자로부터 보호하기 위해 충족하거나 초과 달성해야 하는 모든 소프트웨어 공급망 요건을 열거하고 있다. 국내 역시 올해 초 '정보보안 리더의 밤' 행사에서 이동범 한국정보보호산업협회(KISIA) 회장이 "바이든 행정부가 발동한 '사이버보안을 위한 행정명령(EO 14028)'을 주목하고 따라야 한다"고 강조한 바 있다. 또한 10월 26일에는 과학기술정보통신부와 한국인터넷진흥원이 '제로트러스트·공급망 보안 포럼 발족식'을 개최하는 등 미 정부의 행정명령에 대처하기 시작했다. 드로 다비도프 아쿠아 시큐리티 CEO 겸 공동 창업자는 "
정보통신산업진흥원(NIPA)은 SBOM 관련 국내·외 동향과 향후 대응 방안 논의를 위한 전문가 세미나를 개최했다. 세미나에는 ETRI, SPRi, TTA, KISA 등 유관기관과 LG전자, 삼성SDS, 유니티커뮤니티, 누리텔레콤, 인피니트헬스케어 등 SW 전문기업이 참석했다. SBOM은 소프트웨어의 구성요소를 식별하고 의존관계 정보를 관리하기 위한 품목 명세서를 의미한다. 디지털 전환 가속화로 사회기반시설에서의 소프트웨어 재사용률과 복잡도가 증가하면서, SBOM을 활용한 소프트웨어의 공급망 투명성 관리에 대한 필요성이 대두되고 있다. 이와 함께 최근 Log4j 보안 취약점 공격 등으로 전 세계적인 피해가 발생함에 따라 사이버 안보 측면에서 SBOM을 활용한 국가적 대응 체계 구축을 위해 논의가 각 나라별로 본격화되는 상황이다. 특히 미국은 작년 5월 ’사이버안보 개선 행정명령‘을 통해 연방기관에 납품하는 소프트웨에 대한 SBOM 제출 의무화를 발표한 바 있어, 국내 수출 기업의 공급망 피해 최소화와 향후 대응방안 모색이 시급한 상황이다. 세미나에서는 ETRI와 LG전자가 해외 주요 동향과 국내 기업 적용 사례 등을 발표하고, 국내 SW기업들의 현장 의견을