정부, ‘소프트웨어 공급망 보안 가이드라인 1.0’ 발표.. SW 공급망 보안 국제 동향 및 SBOM 활용사례
과학기술정보통신부, 국가정보원, 디지털플랫폼정부위원회가 민관 협력을 통해 ‘SW 공급망 보안 가이드라인 1.0 (이하 ‘가이드라인’)’을 발표했습니다. 소프트웨어 공급망 보안 국제동향과 소프트웨어 구성명세서(SBOM) 활용사례를 담은 ‘소프트웨어 공급망 보안 지침 1.0’ 발표에 대한 공식 보도자료와 주요 내용을 소개해드립니다.
과학기술정보통신부, 국가정보원, 디지털플랫폼정부위원회가 민관 협력을 통해 ‘SW 공급망 보안 가이드라인 1.0 (이하 ‘가이드라인’)’을 발표했습니다. 소프트웨어 공급망 보안 국제동향과 소프트웨어 구성명세서(SBOM) 활용사례를 담은 ‘소프트웨어 공급망 보안 지침 1.0’ 발표에 대한 공식 보도자료와 주요 내용을 소개해드립니다.
이 가이드는 소프트웨어 공급망 및 관련 보안 관행이 무엇인지에 대한 기본 사항부터 시작합니다. 그런 다음 어떤 개발자 구성 요소가 공격을 받을 수 있는지, SBOM과 SLSA가 무엇인지, 어떻게 도움이 되는지 설명합니다.
SCA(Software Composition Analysis)은 소프트웨어 보안을 유지하는 것뿐만 아니라 OSS 위험을 줄이는 기본 토대입니다. 조직이 오픈 소스 구성 요소에 점점 더 의존함에 따라 비즈니스를 보호하려면 신뢰할 수 있는 SCA 도구와 소스 코드 취약점 스캐너가 절대적으로 필요합니다.
최근 공격 캠페인에서 사이버 범죄자가 깃허브(GitHub)의 검색 기능을 교묘하게 조작하고 정교하게 제작된 리포지토리를 사용하여 악성 코드를 배포하는 것이 발견되었습니다.
오픈 소스 소프트웨어 공급망을 표적으로 삼는 공급망 공격이 급증했습니다. 공격자들은 서드 파티 공급업체, 해당 시스템 및 플랫폼을 추구하는 대신 개발자의 가장 친한 친구인 오픈 소스 소프트웨어를 표적으로 삼아 개발자를 직접 겨냥하기 시작했습니다.
파일 압축을 위해 많은 Linux 배포판에서 사용하는 도구인 xz 프로젝트는 점차적으로 프로젝트를 장악하고 백도어를 삽입한 악의적인 행위자에 의해 손상되었습니다. 2024년 3월 29일 Andres Freund라는 개발자가 성능 테스트 중 우연히 발견한 이 공격은 GitHub 계정 Jia Tan(JiaT75)에 의해 수년에 걸쳐 수행되었으며, 그는 GitHub의 오랜 관리자의 신뢰를 얻었습니다. xz 프로젝트를 진행하고 결국 이를 주요 연락 창구로 교체했습니다.
[보안뉴스] 업계에서 가장 포괄적인 클라우드 네이티브 플랫폼 ‘체크막스 원’ 체크막스, 제로트러스트 원칙으로 애플리케이션 보안 강화
소프트웨어 공급망 보안은 하나의 여정이므로 지금 소프트웨어 공급망을 보호하기 위한 조치를 취하는 것이 중요합니다. 체크막스는 코드 패키지에서 공급망 공격을 감지하여 개발자의 진화하는 워크스테이션을 보호하면 위험을 줄이면서 신속한 개발을 지원합니다.
토네이도 캐시(Tornado Cash)는 이더리움(Ethereum) 블록체인을 기반으로 구축된 분산형 개인 정보 보호 솔루션으로, 사용자에게 비구속적이고 익명적인 거래를 제공합니다.
Checkmarx의 최고 고객 책임자인 Yoav Ziv가 The European Financial Review와의 인터뷰를 통해 설명한 ‘오픈 소스 소프트웨어가 금융 회사에 미칠 수 있는 잠재적인 위협과 이러한 위험을 해결하고 고객과의 신뢰를 유지할 수 있는 방법’을 소개해드립니다.