Your browser does not support JavaScript!

금융보안원의 소프트웨어 공급망 보안 활동 분석

일일 보고서 2024년 09월 06일
goover

목차

  1. 요약
  2. 금융보안원의 소프트웨어 공급망 보안 활동 배경
  3. 국내외 소프트웨어 공급망 보안 사례
  4. 금융보안원의 소프트웨어 공급망 보안 전략
  5. 최근 금융보안원의 활동 및 성과
  6. 결론

1. 요약

  • 본 리포트는 금융보안원의 소프트웨어 공급망 보안 활동에 대해 분석한 보고서입니다. 주요 내용은 소프트웨어 공급망 보안의 필요성과 금융보안원의 대응 방안을 다루며, 미국과 유럽연합의 사례, 한국의 SW 공급망 보안 가이드라인 발표 등을 포함합니다. 금융보안원의 대표적인 대응 활동으로는 SBOM(소프트웨어 자재명세서) 활용과 글로벌 사이버 정전 사태 및 크라우드스트라이크 사태에 대한 대응이 있습니다. 또한 금융보안원이 주최한 금융권 현안 세미나에서 MS 오류 사건을 다루어 유사 사고 예방을 위한 논의를 진행하였습니다.

2. 금융보안원의 소프트웨어 공급망 보안 활동 배경

  • 2-1. 금융보안원의 설립과 목적

  • 금융보안원은 안전하고 신뢰할 수 있는 금융환경을 조성하여 금융이용자의 편의 증진과 금융산업의 발전에 기여하기 위해 설립된 사단법인입니다. 금융보안원은 기존의 금융보안연구원과 금융결제원의 금융ISAC, 코스콤의 증권ISAC 부문을 통합하여 2015년 3월 30일에 창립총회를 개최하고, 2015년 4월 10일에 공식 출범하였습니다. 금융보안원은 경기도 용인시에 위치하고 있으며, 그 설립은 금융위원회의 업무계획에 따른 것입니다.

  • 2-2. 소프트웨어 공급망 보안의 필요성

  • 소프트웨어 공급망 보안은 최근 발생한 글로벌 사이버 정전 사태와 같은 사고를 예방하기 위해 매우 중요합니다. 특히, MS 사태와 관련한 금융보안원의 분석에서는 안전하지 않은 소프트웨어 배포 절차가 문제의 근본 원인으로 지적되었습니다. 금융보안원은 이와 관련하여 금융권의 대응 방안을 모색하고 있으며, 전문가 의견을 수렴하여 금융당국과 금융권이 함께 SW 공급망 보안 체크리스트를 마련할 예정입니다. 더불어 각 기업들은 자사 환경에 적합한 안전한 SW 배포 전략을 운영해야 하며, 점진적인 SW 배포와 장애 발생 시 신속한 대응이 필수적입니다.

3. 국내외 소프트웨어 공급망 보안 사례

  • 3-1. 미국의 국가 사이버 보안 개선 행정명령

  • 2021년 5월, 미국 바이든 정부는 국가 사이버 보안 개선에 대한 행정명령을 발표하였습니다. 이 행정명령은 제로 트러스트 보안 아키텍처의 구현과 함께 공공 조달 소프트웨어에 대해 SBOM(소프트웨어 자재명세서) 제출을 의무화하는 내용을 포함하고 있습니다. 이를 통해 공급망 보안을 강화하는 것이 주요 과제로 삼아지고 있습니다.

  • 3-2. EU의 사이버 복원력 법안

  • 유럽연합(EU)은 2027년 시행을 목표로 하는 사이버 복원력 법안(Cyber Resilience Act)을 추진하고 있습니다. 이 법안에는 SBOM 관련 내용이 포함되어 있어서, 공급망 보안의 중요성을 제고하고 있습니다. 이는 최근 소프트웨어 개발 시 오픈소스를 사용하고 있는 현황과 관련하여, 사이버 공격에 대한 대비를 더욱 중요하게 보고 있다는 점을 반영한 것입니다.

  • 3-3. 한국의 SW 공급망 보안 가이드라인 1.0 발표

  • 한국에서는 2023년 5월 중순, 디지털플랫폼정부위원회와 국가정보원, 과학기술정보통신부 등 관계부처가 공동으로 'SW 공급망 보안 가이드라인 1.0'을 발표하였습니다. 이 가이드라인은 국내 정부, 공공기관 및 기업들이 소프트웨어 공급망 보안 관련 역량을 갖출 수 있도록 방향을 제시하고 있습니다. 전문가들은 이번 가이드라인이 공급망의 보안과 안전성을 논의하는 계기가 될 것임을 강조하고 있습니다.

4. 금융보안원의 소프트웨어 공급망 보안 전략

  • 4-1. SBOM(소프트웨어 자재명세서) 활용

  • SBOM은 최근 소프트웨어 개발에서 오픈소스의 사용 증가로 인해 도입된 개념입니다. 이는 어떤 오픈소스를 사용하고 있는지 목록을 작성하여 관리하고자 하는 목적을 지니고 있습니다. 제로 트러스트 보안 아키텍처를 구현하기 위해 SBOM 제출이 의무화되었으며, 이는 소프트웨어 공급망의 안전성과 보안을 점검하고 대비하기 위한 글로벌 IT 업계의 주요 흐름입니다. EU는 이를 포함한 사이버 복원력 법안을 시행할 예정이며, 국내에서도 정부와 여러 관계 부처가 SW 공급망 보안 가이드라인을 발표하여 관련 역량 강화를 추진하고 있습니다.

  • 4-2. 글로벌 사이버 정전 사태 대응

  • 2021년 5월, 미국 바이든 정부는 공급망 보안 강화를 위한 행정명령을 발표하였고, 이에 따른 글로벌 사이버 정전 사태는 단일 소프트웨어의 결함이 전체 산업 생태계에 중대한 영향을 미칠 수 있다는 사실을 재확인시켰습니다. 금융보안원은 금융권에 미치는 영향을 분석하고 전문가들의 의견을 참고하여 SW 공급망 보안체계를 개선하기 위해 노력하고 있습니다. 특히, 금융 분야의 디지털 사고가 국민의 금융 생활에 직접적인 영향을 미친다는 점을 강조하고 있습니다.

  • 4-3. 금융보안 현안 세미나 및 토론회

  • 금융보안원은 2024년 9월 5일 여의도 금융투자협회에서 '금융권 현안 세미나'를 개최하였습니다. 이 자리에서는 MS 사태와 같은 글로벌 사이버 정전 사태의 경과를 분석하며 유사 사고 예방을 위한 전략을 논의하는 패널토론이 진행되었습니다. 다양한 산업의 전문가 100여명이 참석하여 SW 배포의 안정성과 공급망 보안체계의 중요성에 대해 심도 있게 논의하였으며, 향후 SW 공급망 보안 체크리스트 마련 등 근본적인 대응 방안을 모색하였던 점이 주요 하이라이트입니다.

5. 최근 금융보안원의 활동 및 성과

  • 5-1. 크라우드스트라이크 사태 대응

  • 최근 크라우드스트라이크 관련된 사태에 대해 금융보안원은 적극적인 대응을 펼쳤습니다. 글로벌 사이버 보안은 제로 트러스트와 함께 주목받고 있으며, 미국 바이든 정부는 2021년 5월 사이버 보안 개선을 위한 행정명령을 발표하고, SBOM(소프트웨어 자재명세서) 제출을 의무화하여 소프트웨어 공급망 보안 강화를 주요 과제로 삼았습니다. 국내에서도 디지털플랫폼정부위원회와 국가정보원, 과학기술정보통신부 등이 공동으로 ‘SW 공급망 보안 가이드라인 1.0’을 발표하며 국내 정부와 기업들이 보안 관련 역량을 갖출 수 있도록 유도하고 있습니다. 금융보안원은 이번 사태에 대해 국내 금융권이 큰 피해 없이 잘 대처하고 있으며, 이는 신속한 대응 체계와 국내 소프트웨어 사용 비율이 높았기 때문으로 분석되고 있습니다.

  • 5-2. MS 오류 사건 대응

  • MS 오류와 관련하여 금융보안원은 이 사태의 원인이 안전하지 않은 소프트웨어 배포 절차에 있다고 발표했습니다. 금융권 현안 세미나에서 금융보안원은 이번 사건을 분석하고 유사 사고 예방을 위한 논의를 진행하였습니다. 세미나에서는 사이버 정전 사태의 영향을 다각도로 검토하였으며, 각 분야 전문가들은 SW 배포의 안정성을 강화해야 한다고 강조하였습니다. 특히, SW 장애 발생 시 신속하게 업데이트를 중단하고 롤백하는 대응책의 필요성도 제기되었습니다. 금융보안원은 이러한 논의 결과를 바탕으로 SW 공급망 보안 체크리스트 마련 등 근본적인 대응책을 모색할 것이라고 밝혔습니다.

6. 결론

  • 본 리포트는 금융보안원의 소프트웨어 공급망 보안 활동이 국내 금융권의 안정성을 강화하는 데 중요한 역할을 하고 있음을 보여줍니다. 금융보안원은 SBOM의 도입과 글로벌 사이버 정전 사태 대응을 통해 소프트웨어 공급망의 안전성을 높이고 있습니다. 리포트에서 제시된 다양한 사례들과 금융보안원의 전략은 보안 사고에 대한 예방과 신속한 대응의 중요성을 강조합니다. 다만, 공급망 보안체계 개선을 위해 지속적인 업데이트와 협력 방안이 필요합니다. 미래에는 더 강력한 보안 조치와 글로벌 협력이 필수적이며, 이러한 노력이 실제 금융 환경에서 실질적으로 적용될 수 있도록 지원이 필요합니다.

7. 용어집

  • 7-1. 금융보안원 [기관]

  • 금융보안원은 안전하고 신뢰할 수 있는 금융환경을 조성하기 위해 설립된 비영리 사단법인입니다. 금융보안원은 금융권 해킹사고 예방 및 대응을 위한 보안 활동을 수행하며, 금융산업의 발전과 금융이용자의 편의 증진에 기여하고 있습니다.

  • 7-2. SBOM [기술]

  • SBOM(SWL 자재명세서)은 소프트웨어 패키지 내의 구성 요소 목록을 작성하여, 보안 취약점이나 백도어의 위험을 사전에 식별할 수 있도록 돕는 기술입니다. 최근 오픈소스 컴포넌트의 사용이 많아지면서 그 중요성이 커지고 있습니다.

  • 7-3. 글로벌 사이버 정전 사태 [사건]

  • 글로벌 사이버 정전 사태는 단일 소프트웨어의 결함이 전체 산업 생태계에 미친 중대한 영향을 보여준 사건입니다. 이 사건은 금융 분야의 디지털 사고 예방과 대응 방안 마련의 필요성을 더욱 부각시켰습니다.

8. 출처 문서