- 소프트웨어 개발 생명주기(SDLC)를 기반으로 소프트웨어 공급망 전체의 위협 사항 관리

- SBOM 추출 및 관리 기술을 적용하여 국제 표준 보고서 생성 지원

 

쿤텍은 자체 소프트웨어 공급망 보안 솔루션 ‘이지스(AEGIS)’를 통해 국내 기업의 소프트웨어 공급망 보안 가이드라인 준수를 지원한다고 밝혔다.

 

디지털 전환의 가속화로 다양한 산업 분야에서 소프트웨어가 담당하는 비중이 커지면서, 소프트웨어 공급망 보안의 중요성이 강조되고 있다. 반면에 오픈소스 소프트웨어 도입의 확대 및 소프트웨어 구성요소 공급 분업화로 인한 책임 부재와 고도화되고 있는 공급망 보안 위협 등으로 인한 다양한 문제점도 함께 발생하고 있다.

 

이에 지난 5월 12일, 정부는 소프트웨어 공급망 보안 강화를 위한 가이드라인 1.0을 발표했다. 이번 가이드라인은 공급망 보안의 국제 동향 및 SBOM(소프트웨어자재명세서) 활용사례 등을 포함하고 있으며 점차 범위가 확대되고 있는 소프트웨어 공급망 보안 위협 및 해외 규제와 관련된 대응방안을 마련하기 위해 제정되었다.

 

소프트웨어 공급망 보안 가이드라인은 총 4개 장으로 구성되어 있으며, 대통령 직속 디지털플랫폼정부위원회의 공급망 보안 정책 방향, 국내 전문가들의 연구결과, 국산 소프트웨어에 대한 SBOM 실증 및 공급망보안포럼 논의 결과, 공급망 보안 테스트 베드 시범운영 및 민관 정책협의체 논의 결과를 포함하고 있다.

 

쿤텍은 자체적으로 개발한 공급망 보안 솔루션 ‘이지스(AEGIS)’를 통해 국내 기업이 해당 가이드라인을 준수할 수 있도록 지원하여 궁극적인 소프트웨어 공급망 보안 강화에 기여할 계획이다.

 

기존의 보안 솔루션은 소프트웨어에 대한 단순 분석을 기반으로 취약점과 오픈소스 라이선스 관리만 수행하여 체계적인 보안 관리에 한계가 있었다. 이지스는 소프트웨어 개발 생명주기(SDLC)를 기반으로 소프트웨어 공급망 전체에 존재하는 악성코드, 파일 변조 및 무결성, 보안 취약점, 라이선스 이슈 등의 전체적인 위협 사항을 효과적으로 찾아내고 관리할 수 있는 소프트웨어 공급망 보안 통합 관리 솔루션이다.

 

이지스는 국내 다양한 대형 프로젝트에 고객사의 환경에 맞게 적용되어 안정적으로 운용되고 있으며 여기서 쌓은 노하우와 SBOM 추출 및 관리 기술을 소프트웨어 공급망 보안 관리에 적용시켜 사이버 보안 시장의 선두주자로 자리매김하고 있다.

 

쿤텍이 제공하는 공급망 보안 솔루션은 이지스-SCA, 이지스-SCM, 이지스-RMS 세 가지로 구성된다.

 

이지스-SCA(Software Component Analysis)는 외부로부터 반입된 오픈소스와 바이너리 파일에 대한 SBOM을 국제 표준 규격의 보고서(SPDX, CycloneDX)로 생성하는 것을 지원한다. 또한, 취약점 및 라이선스 이슈를 대시보드를 통해 직관적으로 점검 결과와 현황을 파악하고, 도입사별 커스터마이징을 통해 결재 및 승인 프로세스를 접목시켜 손쉽게 관리할 수 있다.

 

이지스-SCM(Supply Chain Management)은 외부로부터 반입된 실행 소프트웨어에 대해 바이너리 분석을 기반으로 하여 악성코드 유입 또는 변조 가능성을 확인하고 파일을 구성하고 있는 함수를 파악하여 위험한 함수를 선별하며 SPDX, json, spdx.xml 등 다양한 형식의 SBOM을 업로드한다. 이를 통해 이전 버전 파일의 SBOM을 비교함으로써 개발사, 공급사, 운영사로 이어지는 소프트웨어 공급망을 효과적으로 관리할 수 있다.

 

이지스-RMS(Repository Management System)는 퍼블릭 레파지토리와 고객사 내 레파지토리를 고객사에서 사용하고 있는 다양한 언어와 환경에 맞추어 커스터마이징하고 개발자 PC에서 패키지 매니저를 통해 ‘요청-점검-반입’의 원스톱 프로세스로 적용시켜 사내 클린 레파지토리를 구성하여 관리한다.

 

쿤텍 방혁준 대표는 “소프트웨어 공급망 보안의 중요성이 점차 강조되면서 국내외 가이드라인에 따라 소프트웨어 보안을 관리하는 것이 필수적이지만 사실상 기업이 자체적으로 SBOM을 분석하고 이를 토대로 공급망 보안을 관리하는 것에는 한계가 있다”고 설명하고, “쿤텍은 SBOM 분석을 기반으로 보안 구성요소에 대한 가시성을 확보하고 취약점까지 통합적으로 관리할 수 있는 이지스를 통해 소프트웨어 공급망의 체계적인 보안 강화에 앞장설 계획”이라고 밝혔다.

 

#쿤텍#AEGIS#이지스#공급망관리#