¼Ö¶óÀ©Áî µî ±½Á÷ÇÑ »ç°Ç ¿¬À̾î ÅÍÁö¸ç ÁÖ¸ñ¹ÞÀº °ø±Þ¸Á º¸¾È, SBOMÀÌ ´ë¾ÈÀ¸·Î ¶°¿Ã¶ó
[º¸¾È´º½º ¿øº´Ã¶ ±âÀÚ] 2014³â°ú 2015³â, ¿¬ÀÌ¾î ¹ß»ýÇÑ ¹Ì±¹ ¿¬¹æÀλç°ü¸®Ã³(OPM) ÇØÅ·»ç°ÇÀº 2,200¸¸ ¸íÀÇ °³ÀÎÁ¤º¸ À¯Ãâ°ú ÇÔ²² ¹Ì±¹»ç»ó ÃÖ¾ÇÀÇ ÇØÅ·»ç°ÇÀ¸·Î ²ÅÇû´Ù. ƯÈ÷ ¿¬ÀÌÀº ÇØÅ·°ø°Ý¿¡ Àλç°ü¸®Ã³ÀÇ »ç¿ëÀÚ ÀÎÁõ ½Ã½ºÅÛÀÇ Çã¼úÇÔ°ú º¸¾È ½ÇÅÂÀÇ ¹®Á¦Á¡ÀÌ ¼ö»ç°á°ú ¹àÇôÁö¸é¼ ¹Ì±¹ Á¤ºÎ¸¦ Áß½ÉÀ¸·Î ¡®Á¦·ÎÆ®·¯½ºÆ®(Zero Trust)¡¯ ¸ðµ¨ÀÇ µµÀÔÀÌ ¿ä±¸µÆ´Ù.
[À̹ÌÁö=utoimage]
Á¦·ÎÆ®·¯½ºÆ®´Â ¡®¾Æ¹«°Íµµ ¹ÏÁö ¸»¶ó¡¯´Â Àǹ̷Π1994³â S.P. MarchÀÇ ¡®Formalising Thrust as a Computational Concept¡¯ º¸°í¼¿¡¼ óÀ½ ¾ð±ÞµÆ°í, ÀÌÈÄ 2003³â Á¦¸®ÄÚ Æ÷·³(Jericho Forum)ÀÇ ¡®Á¶Á÷ IT½Ã½ºÅÛ °æÁ¦ Á¤ÀÇ¡¯¿Í 2009³â ±¸±ÛÀÇ Á¦·ÎÆ®·¯½ºÆ® ȯ°æ ¡®BeyoundCorp¡¯ µî¿¡¼ °Å·ÐµÆ´Ù. ¡®Á¦·ÎÆ®·¯½ºÆ®¡¯¶ó´Â ¿ë¾î´Â 2010³â Æ÷·¹½ºÅÍ ¸®¼Ä¡ÀÇ Á¸ Ų´õ¹ö±×(John Kindervag) ¼ö¼® ¾Ö³Î¸®½ºÆ®°¡ ¹ßÇ¥ÇÑ ¡®No More Chewy Centers : Introducing The Zero Trust Model of Information Security¡¯ º¸°í¼¿´´Âµ¥, ºñ±³Àû º¸¾ÈÀÌ ´À½¼ÇÑ ³»ºÎ¿¡ »çÀ̹ö ¹üÁËÀÚµéÀÌ Ä§ÅõÇßÀ» ¶§ »õ·Î¿î º¸¾È¸ðµ¨·Î Á¦·ÎÆ®·¯½ºÆ®¸¦ ÁÖÀåÇß´Ù.
ÀÌ·¯ÇÑ Á¦·ÎÆ®·¯½ºÆ®´Â Ãʱ⿡´Â º¸¾È±â¾÷ÀÇ ¸¶ÄÉÆà ¿ë¾î·Î »ç¿ëµÇ¸ç ÇϳªÀÇ ¼Ö·ç¼Çó·³ ¼Ò°³µÆÁö¸¸, OPM ÇØÅ·»ç°Ç ÀÌÈÄ ¹Ì±¹Ç¥Áرâ¼ú¿¬±¸¼Ò(NIST)°¡ 2020³â 8¿ù ¡®SP 800-207¡¯ º¸°í¼¿¡¼ ¡®Á¦·ÎÆ®·¯½ºÆ® ¾ÆÅ°ÅØó(Zero Trust Architecture)¡¯¸¦ ¼Ò°³ÇÏ¸é¼ ¡®º¸¾È¿øÄ¢¡¯ Áß Çϳª·Î ÀÚ¸® Àâ°Ô µÆ´Ù. ½ÇÁ¦·Î SP 800-207 º¸°í¼ ÀÌÈÄ ¹Ì±¹ ¿¬¹æÁ¤ºÎ¿Í ÀÇȸ´Â Á¦·ÎÆ®·¯½ºÆ® µµÀÔ¿¡ ÆÈÀ» °È¾ú´Ù.
2021³â 5¿ù ¹ÙÀÌµç ´ëÅë·ÉÀº ¡®±¹°¡ »çÀ̹öº¸¾È °³¼±À» À§ÇÑ ÇàÁ¤ ¸í·É(Executive Order 14028)¡¯À» ¹ßÇ¥Çß°í, 6¿ù ¹Ì±¹ »çÀ̹öº¸¾È Àü´ã±â°ü CISA´Â Á¦·ÎÆ®·¯½ºÆ® ¼º¼÷µµ ¸ðµ¨(Pre-decisional Draft)À» ¹ß°£Çß´Ù. 7¿ù¿¡´Â NIST°¡ ¡®ÇàÁ¤¸í·É(EO-14028)¡¯ °ü·Ã ÁÖ¿ä ¼ÒÇÁÆ®¿þ¾î¿¡ ´ëÇÑ º¸¾È¼º °ü·Ã ÁöħÀ» ¹ßÇ¥Çß°í, ¹Ì±¹¹é¾Ç°ü°ü¸®¿¹»êó(OMB)´Â Á¦·ÎÆ®·¯½ºÆ® »çÀ̹ö º¸¾È ¿øÄ¢À» ÇâÇÑ ¹Ì ¿¬¹æÁ¤ºÎ Àü·«¿¡ °üÇÑ °¢¼¸¦ ¹ßÇ¥Çß´Ù. 2022³â 5¿ù NIST´Â Á¦·ÎÆ®·¯½ºÆ® ¾ÆÅ°ÅØó °èȹ : ¿¬¹æ °ü¸®ÀÚ¸¦ À§ÇÑ °èȹ¼ö¸³ Áöħ ¹é¼ ¡®CSWP 20¡¯À» ¹ß°£ÇßÀ¸¸ç, °°Àº ÇØ 8¿ù Á¦·ÎÆ®·¯½ºÆ® ¾ÆÅ°ÅØó ±¸Çö(SP-1800-35A~D, Preliminary Draft)À» ¹ß°£Çß´Ù.
°ø±Þ¸Á º¸¾ÈÀº ¿¬ÀÌ¾î ¹ß»ýÇÑ ¡®°ø±Þ¸Á °ø°Ý(Supply Chain Attack)¡¯¿¡ ´ëÀÀÇÒ ¼ö ÀÖ´Â ¹æ¹ýÀ¸·Î Á¦½ÃµÆ´Ù. ¿©±â¼ °ø±Þ¸ÁÀ̶õ ¼ÒÇÁÆ®¿þ¾î °³¹ßºÎÅÍ ¹èÆ÷, ¼³Ä¡, À¯Áöº¸¼ö¿¡ À̸£´Â ¸ðµç °úÁ¤À» ¸»Çϸç, °ø±Þ¸Á °ø°ÝÀ̶õ °ø°ÝÀÚ°¡ °ø±Þ¸ÁÀÇ °úÁ¤¿¡ °³ÀÔÇØ º¯Á¶µÈ ¼ÒÇÁÆ®¿þ¾î¸¦ »ç¿ëÀÚÀÇ ½Ã½ºÅÛ¿¡ Àü´ÞµÇµµ·Ï ÇÏ´Â °ø°ÝÀÌ´Ù. ´ëÇ¥ÀûÀÎ °ø±Þ¸Á °ø°Ý »ç°ÇÀÎ ¹Ì±¹ÀÇ ¼Ö¶óÀ©Áî´Â À¯Áöº¸¼ö(¾÷µ¥ÀÌÆ®) ´Ü°è¸¦ ³ë·Á ¹ß»ýÇÑ »ç°ÇÀÌ´Ù. °ø°ÝÀÚ´Â ¼Ö¶óÀ©ÁîÀÇ ½Ã½ºÅÛ ³»ºÎ¿¡ ħÀÔÇØ ¾÷µ¥ÀÌÆ® ÆÄÀÏÀ» º¯Á¶ÇÏ°í, Á¤»óÀûÀÎ ¾÷µ¥ÀÌÆ® ä³ÎÀ» ÅëÇØ »ç¿ëÀÚ¿¡°Ô ÀüÆÄÇß´Ù.
°ø±Þ¸Á º¸¾ÈÀÌ À̽´°¡ µÈ ÀÌÀ¯´Â ¿ÜºÎÀÇ °ø°Ýµµ ÀÖÁö¸¸, ´ëºÎºÐÀÇ ¼ÒÇÁÆ®¿þ¾î°¡ ¿ÀǼҽº¸¦ ÀÌ¿ëÇϰųª ¶óÀ̺귯¸®¸¦ ¿«¾î¼ ÇϳªÀÇ ½Ã½ºÅÛÀ» ¸¸µå´Â °æ¿ì°¡ ¸¹´Ù´Â °Íµµ ÇѸòÇß´Ù. ¹®Á¦´Â ÀÌ·¯ÇÑ »óÅ¿¡¼ ÇϳªÀÇ ÄÄÆ÷³ÍÆ®(¼ÒÇÁÆ®¿þ¾î ¸ðµâÀ» ¹Ì¸® ¸¸µé°í, ÇÊ¿äÇÒ ¶§ À̸¦ Á¶¸³ÇÏ´Â °Í)¿¡ ¡®Ãë¾àÁ¡¡¯ÀÌ ¹ß»ýÇÒ °æ¿ì À̸¦ ÀÌ¿ëÇÑ ¸ðµç ¼ÒÇÁÆ®¿þ¾î°¡ °¨¿°µÉ ¼ö ÀÖ´Ù´Â Á¡ÀÌ´Ù. ½ÉÁö¾î Ãë¾àÁ¡ÀÌ ÀÖ´Â ÄÄÆ÷³ÍÆ®¸¦ »ç¿ëÇß´ÂÁö Á¶Â÷ ¸ð¸£°í Áö³ªÄ¥ ¼öµµ ÀÖ´Ù.
À̶§ ÇÊ¿äÇÑ °ÍÀÌ ¹Ù·Î SBOMÀÌ´Ù. SBOMÀº Software Bill of Materials, Áï ¼ÒÇÁÆ®¿þ¾î ÀÚÀç ¸í¼¼¼ÀÇ ÁÙÀÓ¸»·Î, À̸¦ ÀÌ¿ëÇØ ¾î¶² ÄÄÆ÷³ÍÆ®·Î ±¸¼ºµÆ´ÂÁö ÆľÇÇØ ³õÀ¸¸é, ³ªÁß¿¡ Ãë¾àÁ¡ÀÌ ¹ß»ýÇßÀ» ¶§ ¹Ù·Î È®ÀÎÇØ ´ëÀÀÇÒ ¼ö ÀÖ´Ù. ¹°·Ð ¼ÒÇÁÆ®¿þ¾î ÀÚü¿¡ Ãë¾àÁ¡ÀÌ ÀÖ´Ù¸é SBOMÀÌ µµ¿òÀÌ ¾È µÉ ¼öµµ ÀÖÁö¸¸, ÇöÀç ¸¹Àº »çÀ̹ö °ø°Ý±×·ìµéÀÌ °ø±Þ¸Á °ø°Ý¿¡ ÁýÁßÇÏ´Â »óȲ¿¡¼ ÃÖ¼ÒÇÑÀÇ º¸¾È °È¸¦ ÇÒ ¼ö ÀÖ´Ù´Â Á¡¿¡¼ ÁÖ¸ñ¹Þ°í ÀÖ´Ù. ¹ÙÀ̵ç ÇàÁ¤ºÎµµ ÇàÁ¤¸í·É 14028À» ÅëÇØ SBOMÀ» ¾ð±ÞÇß´Ù.
ÀÌó·³ ¹Ì±¹Á¤ºÎ¸¦ Áß½ÉÀ¸·Î Á¦·ÎÆ®·¯½ºÆ®¿Í °ø±Þ¸Á º¸¾È(SBOM)ÀÌ Ã¼°è¸¦ °®Ãß°í, ¿µ±¹ µîÀÌ º¸Á¶¸¦ ¸ÂÃß°í ÀÖ´Â »óȲ¿¡¼, ¿ì¸®³ª¶ó ¿ª½Ã 2022³â 10¿ù 26ÀÏ ¡®Á¦·ÎÆ®·¯½ºÆ®¡¤°ø±Þ¸Á º¸¾È Æ÷·³¡¯À» ¹ßÁ·ÇÏ°í ±âÁ¸ º¸¾Èü°èÀÇ ÇѰ踦 ¶Ù¾î ³Ñ´Â ½Åº¸¾Èü°è ¸¶·Ã¿¡ ³ª¼¹´Ù. ¶§¹®¿¡ Á¦·ÎÆ®·¯½ºÆ®¿Í °ø±Þ¸Á º¸¾È, ÀÌ µÎ °¡Áö Å°¿öµå´Â 2023³â »çÀ̹öº¸¾ÈÀÇ Æǵµ¿¡ Å« ¿µÇâÀ» ³¢Ä¥ °ÍÀ¸·Î ±â´ëµÈ´Ù.
[¿øº´Ã¶ ±âÀÚ(boanone@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>