공급망 공격 주 타겟은 "운영 단계"

공급망은 공격자들에게 가장 매력적인 대상으로 부상했습니다.

단 한 지점만 침투해도 광범위한 피해를 입힐 수 있기 때문입니다.

방치된 취약점, 관리되지 않는 ID, 보안을 쉽게 우회하는 사용자들이 이러한 위험에 기여하고 있습니다.

공급망을 보호하기 위한 기술을 탐색하는 것이 중요합니다.

---

소프트웨어 수요 기업에게 취약점 평가는 필수

 

소프트웨어 공급망 취약점으로 인한 직접적인 피해는 소프트웨어를 공급받는 기업에서 발생하며, 개발자가 아닙니다.

따라서 이들 기업은 공급받은 소프트웨어가 안전한지 반드시 확인해야 합니다.

하지만 SBOM만으로는 소프트웨어의 보안을 보증할 수 없습니다.

SBOM은 사용된 구성요소의 목록일 뿐, 취약점 검증을 완료했다는 증명서는 아닙니다.

상용 소프트웨어 기업들은 자사의 소프트웨어 신뢰도를 높이기 위해 안전한 소프트웨어 개발에 힘쓰고 있습니다.

그러나 개발 과정에서 제거되지 못한 취약점이 운영 중에 계속해서 발견됩니다.

수요 기업의 요청에 의해 특별히 개발된 소프트웨어도 마찬가지로, 이들 기업이 직접 공급받는 소프트웨어의 취약점을 점검할 필요가 있습니다.

 

전익찬 레드펜소프트 부대표는 비유를 들며 설명합니다: "고가의 보석을 구입할 때, 감정서가 있다 해도 소비자가 별도로 전문 감정사에 의뢰해 해당 보석의 진위 여부를 판단하며 소프트웨어 운영 시에도, 개발사가 안전한 소프트웨어를 공급했다 해도 수요기업이 해당 소프트웨어의 안전성을 다시 한번 검증하는 것이 안전합니다."

레드펜소프트, 소프트캠프와 엔키의 합작 회사이자 소프트캠프의 자회사인 레드펜소프트는 ‘제로 트러스트’ 원칙에 따라 소프트웨어를 도입할 수 있는 ‘엑스스캔(XSCAN)’ 서비스를 제공합니다.

엑스스캔은 공급망 공격에 이용될 수 있는 방법을 연구하고, 개발 완료된 소프트웨어의 구성요소를 리버스 엔지니어링으로 분석하여 공격에 악용될 가능성이 있는지 조사합니다.

의심스러운 구성요소는 개발사가 소명하거나 조치하도록 하여 소프트웨어의 무결성을 검증할 수 있도록 돕습니다.

필요한 경우, 엔키에서 직접 모의해킹을 통해 취약점의 실효성과 위험도를 평가합니다.

미국 CISA의 KEV 및 국제사이버사고대응포럼(FIRST)의 HEV를 지원하며, 가장 위험도가 높은 취약점부터 대응할 수 있도록 합니다.

실제 소프트웨어의 SBOM을 생성하여 운영 환경의 취약점 관리를 용이하게 돕습니다. 또한, 챗GPT를 적용하여 이상 징후와 대처방법을 더 쉽게 파악할 수 있습니다.

 

전 부대표는 레드펜소프트의 특허 기술에 대해 설명하며 강조합니다: "레드펜소프트의 특허 기술은 소프트웨어를 완전히 분해하여 분석하고, 컴포넌트의 위변조나 바꿔치기, 의심스러운 혹은 위험한 속성을 식별하며, 실제로 공격에 악용될 수 있는지 확인합니다.

엑스스캔은 공급망 공격 방어를 위한 여러 단계 중 개발 완료된 소프트웨어를 도입하는 단계에서 보안성을 검증하는 솔루션입니다.

공급망 공격 방어를 위한 여러 단계에서 필요한 기술을 함께 사용해 공급망 공격을 막을 수 있습니다.

레드펜소프트는 이러한 기술을 제공하는 여러 기업들과 협력하여 안전한 소프트웨어 라이프사이클을 완성할 수 있도록 노력하고 있습니다."

자세한 내용은 [ [공급망 보안③] “공급망 피해는 운영단에서 발생” - 데이터넷 (datanet.co.kr) ]을 통해 확인하실 수 있습니다.

[공급망 보안③] “공급망 피해는 운영단에서 발생” - 데이터넷