최근 미국의 사이버보안 및 인프라 보안 기관(CISA)은 Secure Software Development Attestation Form, 즉 자체 증명서를 통해 소프트웨어의 안전성을 보장하자는 방침을 발표했습니다.
이는 공급망 보안을 강화하기 위한 새로운 시도로 평가받고 있습니다.
우선, SBOM(Software Bill of Materials)에 대해 짚고 넘어가면, SBOM은 소프트웨어의 구성 요소, 의존성, 그리고 알려진 취약점 등을 상세하게 명시한 문서로, 소프트웨어의 투명성을 보장하고 취약점을 관리하기 위한 중요한 도구로 간주되어 왔습니다.
그러나, CISA의 Self-Attestation Form 발표 이후, 많은 사람들이 SBOM의 역할이 줄어들었다고 오해하게 되었습니다.
SBOM vs Self-Attestation Form
목적 및 범위
SBOM은 주로 소프트웨어의 구성요소와 의존성, 그리고 알려진 취약점을 상세히 기술하고 투명성을 보장하기 위한 것입니다.
Self-Attestation Form은 소프트웨어 개발자가 연방 요구사항을 충족하며 특정 SSDF(Secure Software Development Framework) 기준을 준수했다는 것을 증명하기 위한 도구입니다.
효과와 한계
Self-Attestation Form은 공급자 사이의 정보 공개에 대한 우려를 완화할 수 있습니다.
일부 업체들은 SBOM의 내용이 너무 상세하여 보안 위험 또는 지적재산의 노출 문제가 발생할 수 있다고 우려했습니다.
그러나, CISA의 지침에 따르면, SBOM은 검토용으로만 사용되어야 하며 공개되어서는 안 되며이로 인해 SBOM의 중요성이나 필요성이 줄어드는 것은 아니라고 말하고있습니다.
결론적으로, CISA의 Self-Attestation Form은 SBOM을 대체하려는 것이 아닌, 보다 체계적인 소프트웨어 개발 보안 관리를 위한 추가적인 도구로 해석되어야 합니다.
SBOM의 역할이 감소하거나 사라지는 것이 아니라, 두 가지 도구가 함께 사용되어 소프트웨어 공급망의 안전성을 더욱 강화하게 될 것입니다.
제대로 된 공급망 보안을 구축하려면, 다양한 도구와 접근법이 유기적으로 협력해야 합니다.
CISA의 새로운 제안은 그 방향성 중 하나로 보아, 안전한 소프트웨어 생태계 구축을 위한 한 걸음 더 나아간 것으로 평가될 수 있습니다.
참고뉴스
'즐거운 보안 이야기 > 공급망 보안 뉴스' 카테고리의 다른 글
| 미국 FDA에서 보안 기능이 없거나 SBOM을 제출하지 않는 의료기기의 심사 거부 예정 (0) | 2023.09.18 |
|---|---|
| EU 유럽연합의 디지털 보안 강화와 한국의 대응 (8) | 2023.08.16 |
| [공급망 보안] NPM 패키지 위협, 민감한 개발자 정보를 빼내도록 설계한 악성 패키지 (0) | 2023.08.07 |
| SW 공급망 보안: '깃허브'에서 벌어지는 공격자의 놀이터 (0) | 2023.07.17 |
| TSMC, 써드파티 소프트웨어를 통한 해커 공격으로 공급망 보안 위협 받다 (0) | 2023.07.06 |
