Your browser does not support JavaScript!

공급망 보안: 글로벌 트렌드와 사고 분석

일반 리포트 2024년 12월 01일
goover

목차

  1. 요약
  2. 소프트웨어 공급망 보안의 개념
  3. 최근 소프트웨어 공급망 보안 사고
  4. 한국의 소프트웨어 공급망 보안 정책
  5. 글로벌 동향 및 대응 방안
  6. 결론

1. 요약

  • 최근 발생한 '블루스크린 사고'를 계기로 소프트웨어 공급망 보안의 중요성이 새롭게 부각되고 있습니다. 이 사고는 글로벌 보안업체 크라우드스트라이크의 소프트웨어 업데이트 결함으로 인해 발생하였으며, 이를 통해 공급망 관리의 부실이 IT 대재앙으로 이어질 수 있음을 보여주었습니다. 이에 따라 각국 정부는 소프트웨어 공급망 보안을 강화하기 위한 다양한 정책을 추진하고 있습니다. 본 리포트는 소프트웨어 공급망 보안의 기본 개념부터 최근 사고 사례, 그리고 글로벌 정책 동향을 체계적으로 분석하여 보안 체계의 신뢰성을 높일 방법을 모색합니다. 특히, 한국은 '소프트웨어 공급망 보안 가이드라인'을 통해 예방 조치를 강화하고 있으며, SBOM(소프트웨어 자재 명세서)의 도입을 적극적으로 논의하고 있습니다. 이러한 노력을 통해 공급망의 투명한 관리 체계를 구축하고자 하는 방향성을 제시합니다.

2. 소프트웨어 공급망 보안의 개념

  • 2-1. 소프트웨어 공급망의 정의

  • 소프트웨어 공급망은 소프트웨어의 개발, 배포, 설치 전 과정을 포함하는 개념입니다. 현대의 소프트웨어는 온라인과 클라우드를 통해 배포되고 주기적으로 업데이트되며, 이 과정에서 기술적 오류나 해킹 등의 위험에 노출될 수 있습니다. 예를 들어, 최근 발생한 '블루스크린 사고'는 글로벌 보안업체 크라우드스트라이크의 소프트웨어 업데이트 결함으로 인해 발생했으며, 이는 공급망 관리 부실이 IT 대재앙으로 이어질 수 있음을 시사합니다.

  • 2-2. 소프트웨어 공급망의 단계

  • 소프트웨어는 원재료를 획득하고, 이 원재료를 중간재나 최종재로 변환한 후, 최종제품을 고객에게 유통하기 위한 단계로 구성됩니다. 이 과정에서의 각 단계는 신뢰성과 품질 유지를 위해 철저하게 관리되어야 하며, 문제가 발생할 경우 원인을 쉽게 추적할 수 있도록 해야 합니다. 공급망의 관리는 소프트웨어에 포함된 모든 컴포넌트를 명세하고, 개발환경 및 빌드, 배포/업데이트 서버의 보안을 강화함으로써 소프트웨어의 전 생애 주기에서 보안성을 높이는 새로운 트렌드로 자리 잡고 있습니다.

3. 최근 소프트웨어 공급망 보안 사고

  • 3-1. 블루스크린 사고와 그 원인

  • 지난 19일, 전 세계를 혼란에 빠뜨린 '블루스크린 사고'의 원인은 글로벌 보안업체 크라우드스트라이크의 소프트웨어 업데이트 결함으로 밝혀졌습니다. 이 사고는 크라우드스트라이크 제품의 업데이트 파일이 마이크로소프트(MS) 윈도10 운영체제(OS)와 충돌하면서 발생하였고, 이로 인해 많은 기업과 기관의 컴퓨터 시스템이 장애를 겪었습니다. 소프트웨어 공급망은 소프트웨어의 개발, 배포, 설치 전 과정을 포함하는 것으로, 기술적 오류나 해킹의 위험에 노출될 수 있습니다. 전문가들은 이번 사고가 소프트웨어 공급망 관리의 부실이 IT 대재앙으로 이어질 수 있음을 보여주는 상징적인 사례라고 강조하고 있습니다.

  • 3-2. 소프트웨어 공급망 관리 부실의 사례

  • 전 세계적으로 발생한 여러 소프트웨어 공급망 공격은 공급망 관리의 취약성을 드러내고 있습니다. 2020년 솔라윈즈 사건, 2022년 국내 보안 기업 이스트소프트의 '알약' 업데이트 오류, 2023년 주요 기관 해킹 사건 등이 그 예입니다. 특히, 전문가들은 이러한 공격이 앞으로 더욱 증가할 것이라고 예측하고 있으며, 가트너는 2025년까지 전 세계 조직의 45%가 이러한 공격을 경험할 것이라고 전망하고 있습니다. 한국의 과학기술정보통신부와 한국인터넷진흥원 또한 소프트웨어 공급망 공격을 주요 사이버 위협으로 규정하고 있습니다. 이에 따라, 각국 정부는 소프트웨어 개발 및 배포와 관련된 품질과 안전 관리를 강화하기 위한 다양한 정책을 마련하고 있습니다.

4. 한국의 소프트웨어 공급망 보안 정책

  • 4-1. 소프트웨어 공급망 보안 가이드라인

  • 우리 정부는 과학기술정보통신부, 국가정보원, 디지털플랫폼정부위원회 등을 중심으로 민·관 협력을 통해 '소프트웨어 공급망 보안 가이드라인'을 마련하였습니다. 이 가이드라인에 따르면 소프트웨어를 제공받는 공공기관이나 일반기업들이 선제적인 예방조치를 취하는 것이 바람직하다고 강조되고 있습니다. 이는 정기적으로 소프트웨어 공급업체 평가 및 모니터링을 실시하고, 백신 프로그램을 실시간으로 업데이트하며, 강력한 내부 보안 지침을 마련하고 비상 대응 계획을 수립하는 것을 포함합니다.

  • 4-2. SBOM(소프트웨어 자재 명세서)의 도입

  • 소프트웨어 공급망 보안의 일환으로 소프트웨어 자재 명세서(SBOM, Software Bill Of Materials)의 도입이 활발히 논의되고 있습니다. SBOM은 해당 소프트웨어가 구성된 요소와 제작 과정을 기록한 문서로서, 운영체제, 구성요소, 라이선스 정보, 취약성 정보 등을 포괄합니다. 이렇게 함으로써 소프트웨어의 모든 요소와 정보를 확인할 수 있게 되어 취약점을 사전에 식별하고 모니터링할 수 있으며, 보안 사고 발생 시 문제의 원인 추적도 용이해집니다.

5. 글로벌 동향 및 대응 방안

  • 5-1. 미국의 공급망 보안 규제

  • 미국은 2020년 말에 발생한 솔라윈즈 공급망 공격 이후, 공급망 보안 규제를 시작하였습니다. 대통령 행정명령 14028을 통해 연방정부에 납품되는 모든 소프트웨어에 대해 일정 수준 이상의 공급망 보안 관리를 요구하는 로드맵을 제시하였습니다. 3년여의 준비 끝에 미국은 2024년 8월부터 공급망 보안 규제를 시행하였으며, 소프트웨어 납품 시 'Secure Software Development Attestation Form'을 제출해야 합니다. 이 문서는 NIST에서 개발한 Secure Software Development Framework(SSDF, NIST 800-218)에 기반하여 소프트웨어의 개발환경 보안, 출처 검증, 취약점 관리 등을 통해 성실히 이행하였음을 나타내는 자체명세서입니다. CISA 관계자에 의하면 현재 자가명세서는 기술적인 체크리스트가 아닌 선언적 계약 문서로 존재하므로, 향후 보다 상세한 체크리스트 형태의 명세서가 필요할 것이라고 전했습니다.

  • 5-2. EU의 사이버복원력 법안

  • EU에서는 사이버복원력 법안을 통해 디지털 인프라의 보안 및 신뢰성을 강화하고 있습니다. 이 법안은 지난 몇 년 간의 사이버 공격 및 데이터 유출 사건을 통해 요구되는 규제 체계의 일환으로 개발되었으며, 이를 통해 기업과 기관들은 사이버 공격에 대비하고 사전 예방 조치를 강화할 수 있도록 요구받고 있습니다. 해당 법안은 공급망의 보안 강화를 목표로 하며, 소프트웨어 개발 및 운영에 있어 보안 기준을 강화하는 것이 주된 내용입니다.

  • 5-3. 기타 국가들의 대응

  • 일본과 한국을 포함한 기타 국가들도 공급망 보안 강화 노력을 기울이고 있습니다. 특히, 한국은 2024년 5월 'SW 공급망 보안 가이드라인'을 배포하여 보안 분야를 포함한 산업 전반에 대한 관심을 촉구하고 있습니다. 공급망 관리의 효과성을 높이고 보안을 강화하기 위한 다양한 정책과 로드맵이 준비되고 있으며, 각국 간 협력이 더욱 중요해지고 있습니다.

결론

  • 블루스크린 사고는 소프트웨어 공급망 관리의 중요성을 일깨운 상징적인 사건으로, 전 세계적으로 공급망 보안 강화의 필요성이 대두되고 있습니다. 특히, SBOM의 도입은 소프트웨어 구성 요소를 투명하게 관리하여 보안성을 높이는 효과적인 수단으로 주목받고 있습니다. 한국은 '소프트웨어 공급망 보안 가이드라인'을 통해 예방 조치를 추진하고 있으나, 소프트웨어 공급망 공격의 위험은 여전히 존재하며 증가할 것으로 예상됩니다. 따라서 각국은 협력을 통해 보안 체계를 강화하고, 사이버 공격에 대한 철저한 대비가 필요합니다. 이러한 노력을 통해 글로벌 IT 환경에서의 경쟁력을 유지하고 강화할 수 있을 것입니다. 아울러, 지속적인 연구와 기술 개발을 통해 안정적인 디지털 인프라를 구축해야 하며, 이는 장기적으로 국가 경쟁력 강화에 기여할 것으로 기대됩니다.

용어집

  • SBOM(소프트웨어 자재 명세서) [기술]: SBOM은 소프트웨어의 구성 요소와 개발 과정, 타 소프트웨어와의 융합 방식을 상세히 기록한 문서로, 취약점을 미리 식별하고 모니터링할 수 있게 해준다. 이는 소프트웨어의 전반적인 보안성을 향상시키는 데 기여하며, 디지털 인프라의 신뢰성을 높이는 중요한 도구로 자리잡고 있다.
  • 블루스크린 사고 [사건]: 블루스크린 사고는 크라우드스트라이크의 소프트웨어 업데이트 결함으로 인해 발생한 사건으로, 전 세계적으로 많은 기업과 기관의 컴퓨터 시스템에 장애를 초래하였다. 이 사건은 소프트웨어 공급망 관리의 부실이 가져올 수 있는 심각한 결과를 보여주는 상징적인 사례로 평가받고 있다.

출처 문서