Home > Àüü±â»ç > ¿ÀÇǴϾð

[Å×Å©Ä®·³] ¼ÒÇÁÆ®¿þ¾î °³¹ß ´Ü°è °ø±Þ¸Á º¸¾È °ü·Ã Ç¥ÁØÈ­ µ¿Çâ

ÀÔ·Â : 2023-11-05 23:50
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
SW °ø±Þ¸Á °ø°ÝÀº °³¹ß´Ü°è¿¡¼­ ¼Ò½ºÄÚµå ¹«´Ü ¼öÁ¤, SDK, ºôµå ½Ã½ºÅÛ µî °ø°Ý ÇüÅÂ
±¹Á¦Ç¥ÁØ, SBOM Á¤ÀÇÇÏ´Â ±¹Á¦Ç¥ÁØ°ú ¹Ì±¹ ³» È°¿ë À§ÇÑ ¹Ì±¹ ³»ºÎ Ç¥ÁØ ¹× ±ÔÁ¤
°ú±âÁ¤ÅëºÎ, SBOM »ý¼º ¹× ¿î¿µ ½ÇÁõ ÀÌÈÄ SW °ø±Þ¸Á º¸¾È °¡À̵å¶óÀÎ µµÃâ ¿¹Á¤


[º¸¾È´º½º= À̸¸Èñ Çѳ²´ëÇб³ ÄÄÇ»ÅÍ°øÇаú ±³¼ö] Áö³­ 9¿ù 1ÀÏ¿¡ °³ÃÖµÈ 2023 º¸¾ÈÆò°¡±â¼ú ±¹Á¦Ç¥ÁØÈ­ ¿öÅ©¼ó¿¡¼­´Â ±âÁ¸ º¸¾ÈÆò°¡±â¼ú ¿Ü¿¡ »õ·Ó°Ô ¶°¿À¸¥ º¸¾È±â¼úÀÎ ¼ÒÇÁÆ®¿þ¾î °ø±Þ¸Áº¸¾ÈÀÇ Ç¥ÁØÈ­ ³»¿ëÀÌ ¼Ò°³µÆ´Ù. ¿©±â¿¡¼­´Â ´ç½Ã ¹ßÇ¥¿¡¼­ ¼Ò°³µÆ´ø ¼ÒÇÁÆ®¿þ¾î °ø±Þ¸Á °ø°Ý À¯Çü°ú À§Çù, ±×¸®°í ÃÖ±Ù ¹ßÇ¥µÈ °ø±Þ¸Á º¸¾È °ü·Ã ¹®¼­µéÀ» Á¤¸®ÇØ º»´Ù.

[À̹ÌÁö=gettyimagesbank]


SW °ø±Þ¸Á °ø°Ý À¯Çü ¹× À§Çù
¼ÒÇÁÆ®¿þ¾î °ø±Þ¸ÁÀº ¼ÒÇÁÆ®¿þ¾î¸¦ °³¹ß¡¤¹èÆ÷¡¤¿î¿µÇÏ´Â ÇÁ·Î¼¼½º °úÁ¤¿¡¼­ °ü¿©µÇ´Â ¸ðµç °³ÀÎ, Á¶Á÷, ÀÚ¿ø, È°µ¿ ¹× ±â¼úÀ» ÀǹÌÇÑ´Ù. ÃÖ±Ù °ü½ÉÀ» ¸¹ÀÌ ¹Þ´Â ºÎºÐÀº ¼ÒÇÁÆ®¿þ¾îÀÇ °³¹ß¿¡ °ü·ÃµÈ °ø±Þ¸Á °ø°Ý°ú ŽÁö¡¤¹æÁö¿¡ °üÇÑ È°µ¿ÀÌ´Ù. ±× ÀÌÀ¯´Â ¸¹Àº ÇØÄ¿µéÀÌ ¼ÒÇÁÆ®¿þ¾î °³¹ß´Ü°è¿¡¼­ °ø°ÝÀ» ¸¹ÀÌ ¼öÇàÇϱ⠶§¹®ÀÌ´Ù.

µû¶ó¼­ ±¹³»¿Ü ¸¹Àº Á¤Ã¥°ú µµ±¸µéµµ ÁÖ·Î ¼ÒÇÁÆ®¿þ¾î °³¹ß°ú °ü·ÃµÈ °ø±Þ¸Á º¸¾È¿¡ ÃÊÁ¡ÀÌ ¸ÂÃçÁ® ÀÖ´Ù. °³¹ß´Ü°è ¼ÒÇÁÆ®¿þ¾î °ø±Þ¸Á º¸¾ÈÀº ¼ÒÇÁÆ®¿þ¾î °³¹ß ¶óÀÌÇÁ »çÀÌŬ(SDLC)°ú ¹ÐÁ¢ÇÑ °ü·Ã¼ºÀÌ ÀÖ´Ù. ¼ÒÇÁÆ®¿þ¾î °³¹ß °úÁ¤ ÀÚü°¡ ¼ÒÇÁÆ®¿þ¾î °ø±Þ¸ÁÀ» Çü¼ºÇϸç, ÀÌ·¯ÇÑ ÇÁ·Î¼¼½ºÀÇ Ãë¾àÇÑ ºÎºÐ¿¡ ÇØÄ¿°¡ ħÀÔÇÏ¿© ÃÖÁ¾ Á¦Ç°ÀÎ ¼ÒÇÁÆ®¿þ¾î¿¡ ¾Ç¼ºÄڵ峪 Ãë¾àÇÑ Äڵ带 »ðÀÔÇÏ´Â °ÍÀÌ °ø±Þ¸Á °ø°ÝÀÌ´Ù. ¼ÒÇÁÆ®¿þ¾î °³¹ßÀÇ °¢ ´Ü°è¿¡¼­ ¹ß»ýÇÒ ¼ö ÀÖ´Â °ø±Þ¸Á À§ÇùÀº ´ÙÀ½°ú °°´Ù.

°èȹ ¹× ¼³°è ´Ü°è °ø°Ý
¼ÒÇÁÆ®¿þ¾îÀÇ °èȹ ¹× ¼³°è ´Ü°è¿¡¼­´Â ¿ä±¸»çÇ× ¼öÁý, ºÐ¼®, Ÿ´ç¼º Æò°¡, ¾ÆÅ°ÅØó ¼³°è, ÇÁ·ÎÅäŸÀÔ Á¦ÀÛ, ÀÏÁ¤ °èȹ µîÀÌ ÀÌ·ç¾îÁø´Ù. ÀÌ ´Ü°è¿¡¼­ ½ÇÁ¦·Î ¹ß»ýÇÑ °ø°Ý »ç·Ê Áß Çϳª´Â 2020³â 6¿ù¿¡ ¹ß»ýÇÑ ¡®GoldenSpy¡¯ °ø°ÝÀÌ´Ù. Áß±¹ ÀºÇàÀÌ ¿Ü±¹ ±â¾÷ °í°´À» ´ë»óÀ¸·Î ¼³Ä¡¸¦ ¿ä±¸ÇÑ ¼¼¹« ¼ÒÇÁÆ®¿þ¾î¿¡ ¹éµµ¾î¸¦ »ðÀÔÇÑ »ç·Ê·Î, ÀÌ °ø°ÝÀº ¼ÒÇÁÆ®¿þ¾î°¡ °èȹ ´Ü°èºÎÅÍ ¾ÇÀÇÀûÀ¸·Î °³¹ßµÈ °ÍÀ¸·Î È®ÀεƴÙ.

°³¹ß´Ü°è : ¼Ò½ºÄÚµå ¹«´Ü ¼öÁ¤ °ø°Ý
ÀÌ ´Ü°è °ø°ÝÀº °ø±Þ¸ÁÀÇ ÃÊ±â ´Ü°è °ø°ÝÀ¸·Î, ÀûÀýÇÑ ±ÇÇÑ ¾øÀÌ ¼Ò½ºÄڵ带 ¼öÁ¤ÇÏ´Â ¸ðµç ÇüÅÂÀÇ °ø°ÝÀ» ¶æÇÑ´Ù. ´ëÇ¥ÀûÀ¸·Î´Â °³¹ßÀÚ PC¸¦ ħÇØÇÑ µÚ, °³¹ßÀÚ PC¿¡ ÀúÀåµÈ ¼Ò½ºÄڵ带 ¾Ç¼ºÄڵ峪 Ãë¾àÁ¡ ÀÖ´Â ÄÚµå·Î º¯°æÇϰųª °³¹ßÀÚÀÇ ÀÎÁõ Á¤º¸¸¦ Å»ÃëÇÑ ÈÄ ¼Ò½ºÄÚµå ¸®Æ÷ÁöÅ丮¿¡ ºÒ¹ý Äڵ带 ÀúÀåÇÏ´Â ¹æ½ÄÀÌ´Ù. 2021³â 9¿ù, ÇÑ ÇØÄ¿°¡ DeFi Ç÷§ÆûÀ» Á¦°øÇÏ´Â SushiSwap »çÀÇ GitHub °èÁ¤¿¡ Á¢±ÙÇÏ¿© ¾Ç¼ºÄڵ带 Ä¿¹ÔÇÔÀ¸·Î½á ¾à 36¾ïÀÇ ÇÇÇظ¦ ÀÔÈ÷±âµµ Çß´Ù.

°³¹ß´Ü°è : SDK(Software Development Kit) °ø°Ý
SDK´Â °³¹ßÀÚµéÀÌ Æ¯Á¤ Ç÷§Æû, ÀÀ¿ë ÇÁ·Î±×·¥ ¶Ç´Â Çϵå¿þ¾î¿Í »óÈ£ ÀÛ¿ëÇÒ ¼ö ÀÖ´Â ¼ÒÇÁÆ®¿þ¾î¸¦ °³¹ßÇÏ´Â µ¥ »ç¿ëÇÏ´Â µµ±¸, ¶óÀ̺귯¸®, ¹®¼­ ¹× ¿¹Á¦ ÄÚµåÀÇ ÁýÇÕÀÌ´Ù. ¼ÒÇÁÆ®¿þ¾î °³¹ß Áß ¾Ç¼º Äڵ尡 Æ÷ÇÔµÈ SDK¸¦ »ç¿ëÇÒ °æ¿ì, ÃÖÁ¾ ¼ÒÇÁÆ®¿þ¾î°¡ ¾Ç¼ºÄڵ忡 °¨¿°µÉ ¼ö ÀÖ´Ù.

2020³â 7¿ù¿¡ ÇØÄ¿µéÀÌ Twilio SDK ¶óÀ̺귯¸®¿¡ ¾Ç¼º Äڵ带 »ðÀÔÇÑ »ç·Ê°¡ ÀÖ¾úÀ¸¸ç, ÀÌ·Î ÀÎÇØ Twilio SDK¸¦ ±â¹ÝÀ¸·Î ÇÏ´Â ¼ÒÇÁÆ®¿þ¾îÀÇ ¹Î°¨ Á¤º¸°¡ ³ëÃâµÇ¾ú´Ù. ÀÌ·¯ÇÑ °ø°ÝÀº ÇÁ·Î±×·¡¸Ó°¡ ¾Æ¹«¸® ½ÃÅ¥¾î ÄÚµùÀ» Àû¿ëÇÏ´õ¶óµµ SDK¸¦ »ç¿ëÇÑ ¸ðµç ¼ÒÇÁÆ®¿þ¾î¿¡ ¿µÇâÀ» ¹ÌÄ¥ ¼ö ÀÖ´Ù.

°³¹ß´Ü°è : ¿ÀǼҽº ¼ÒÇÁÆ®¿þ¾î ¼Ò½ºÄÚµå ¸®Æ÷ÁöÅ丮 °ø°Ý
¿ÀǼҽº ¼ÒÇÁÆ®¿þ¾îÀÇ »ç¿ëÀÌ Áõ°¡ÇÔ¿¡ µû¶ó ¼Ò½ºÄÚµå ¸®Æ÷ÁöÅ丮¸¦ ÅëÇÑ °ø°Ýµµ ´Ã¾î³ª°í ÀÖ´Ù. 2021³â 3¿ù¿¡´Â PHPÀÇ °ø½Ä Git ¼­¹ö°¡ ÇØÅ· ´çÇØ ¾Ç¼ºÄڵ尡 »ðÀÔµÈ »ç·Ê°¡ ÀÖ¾ú´Ù. ÀÌ·¯ÇÑ ¸®Æ÷ÁöÅ丮´Â Àü ¼¼°èÀÇ ÇÁ·Î±×·¡¸ÓµéÀÌ »ç¿ëÇÏ´Â Áß¿äÇÑ ¿ä¼Ò·Î½á ±× ¾ÈÀü¼ºÀÌ º¸ÀåµÇ¾î¾ß ÇÑ´Ù.

°³¹ß´Ü°è : ŸÀÌÆ÷½ºÄõÆÃ(Typosquatting) °ø°Ý
ŸÀÌÆ÷½ºÄõÆÃÀº ÀÎÅÍ³Ý »ç¿ëÀÚ°¡ À¥ »çÀÌÆ® ÁÖ¼Ò¸¦ ÀÔ·ÂÇÒ ¶§ÀÇ ¿ÀŸ¸¦ ÀÌ¿ëÇØ »ç¿ëÀÚ¸¦ ¼ÓÀ̰ųª °ø°ÝÇÏ´Â ¿Â¶óÀÎ À§Çù ±â¼ú°ú À¯»çÇÑ ±â¼ú·Î, ÇØÄ¿µéÀº °³¹ßÀÚ°¡ ÇÊ¿äÇÑ ÆÐÅ°Áö ¹× ¶óÀ̺귯¸®¸í ÀԷ½à ¹ß»ýÇÒ ¼ö ÀÖ´Â ¿ÀŸ¿Í °°Àº À̸§ÀÇ ¾Ç¼º ÆÐÅ°Áö¸¦ ¸®Æ÷ÁöÅ丮¿¡ ¹Ì¸® µî·ÏÇÑ´Ù.

´ëºÎºÐÀÇ Å¸ÀÌÆ÷½ºÄõÆà °ø°ÝÀº ¿ø·¡ ÆÐÅ°Áö¿Í µ¿ÀÏÇÑ ±â´ÉÀ» Á¦°øÇϹǷΠ°³¹ßÀÚµéÀÌ Å¸ÀÌÆ÷½ºÄõÆà °ø°Ý ¹ß»ýÀ» ÀÎÁöÇϱ⠾î·Æ´Ù. ÃÖ±Ù ºóµµ°¡ °¡Àå ³ôÀº °ø±Þ¸Á °ø°ÝÀ¸·Î, ÇÏ·ç¿¡µµ ¼ö½Ê¿¡¼­ ¼ö¹é°Ç¾¿ Á¤»ó ÆÐÅ°Áö¿Í À¯»çÇÑ À̸§ÀÇ ÆÐÅ°Áö°¡ ¹ß°ßµÇ±âµµ ÇÑ´Ù. ÃÖ±ÙÀÇ »ç·Ê Áß Çϳª´Â RustÀÇ Á¤»ó ÆÐÅ°ÁöÀÎ ¡®rust_decimal¡¯ÀÇ Å¸ÀÌÆ÷½ºÄõÆÃÀÎ ¡®rustdecimal¡¯ÀÌ µî·ÏµÇ±âµµ Çß´Ù.

°³¹ß´Ü°è : ºôµå ½Ã½ºÅÛ °ø°Ý
¼Ò½ºÄÚµå ÆÄÀÏÀ» ÄÄÆÄÀÏÇÏ°í ½ÇÇà °¡´ÉÇÑ ¼ÒÇÁÆ®¿þ¾î ¾ÖÇø®ÄÉÀÌ¼Ç ¶Ç´Â ¶óÀ̺귯¸®·Î º¯È¯ÇÏ´Â ºôµå ½Ã½ºÅÛÀº DevOps¿Í CI/CD(Continuous Integration/Continuous Deployment) ȯ°æ¿¡¼­ ÇÙ½É ¿ªÇÒÀ» ¼öÇàÇÑ´Ù. ÀÌ ºôµå ½Ã½ºÅÛÀÌ ÇØÅ·´çÇÏ¸é ¼Ò½ºÄÚµå °³¹ß ´Ü°èÀÇ ¸ðµç º¸¾È Á¦¾î°¡ ¹«¿ëÁö¹°ÀÌ µÈ´Ù.

´ëÇ¥ÀûÀÎ »ç·Ê°¡ 2021³â ¸»¿¡ ¹ß»ýÇÑ ¼Ö¶óÀ©Áî °ø°ÝÀÌ´Ù. ¼Ö¶óÀ©ÁîÀÇ ºôµå ½Ã½ºÅÛÀÌ Ä§ÇØ´çÇÑ ÈÄ, ¹éµµ¾î°¡ »ðÀÔµÈ ¾÷µ¥ÀÌÆ®°¡ »ý¼ºµÆ°í ÀÌ Äڵ尡 ¾÷µ¥ÀÌÆ® ¼­¹ö¸¦ ÅëÇØ Àü ¼¼°è·Î ÀüÆĵƴÙ. ÀÌ °ø°ÝÀ¸·Î Àü ¼¼°è 18,000°³ ±â°ü¿¡ ÇÇÇظ¦ ÀÔÇû°í, À̵ëÇØ ¹Ì±¹ Á¤ºÎ´Â ´ëÅë·É ÇàÁ¤¸í·ÉÀ» ¹ßÇ¥Çϱ⿡ À̸£·¶´Ù.

Å×½ºÆà ´Ü°è : Å×½ºÆà ȯ°æ °ø°Ý
CI/CD ȯ°æ¿¡¼­ ÀÚµ¿ Å×½ºÆÃÀº ÇʼöÀû ´Ü°è·Î Àνĵǰí ÀÖ´Ù. ÀÌ ÀÚµ¿ Å×½ºÆà ȯ°æ ÀÚü°¡ °ø°Ý ´ë»óÀÌ µÇ¸é Å« À§ÇùÀÌ µÉ ¼ö ÀÖ´Ù. ¼ÒÇÁÆ®¿þ¾î Ç°Áú ¹× ÄÚµå Ä¿¹ö¸®Áö ºÐ¼®À» À§ÇÑ Å¬¶ó¿ìµå ±â¹Ý ¼­ºñ½ºÀÎ CodecovÀÇ µµÄ¿ À̹ÌÁöÀÇ Ãë¾àÁ¡À» È°¿ëÇØ Codecov °í°´ÀÇ ÀÚ°Ý Áõ¸íÀ» ȹµæÇÑ »ç°ÇÀÌ ´ëÇ¥ÀûÀÎ »ç·Ê´Ù.

SW °ø±Þ¸Á º¸¾È Ç¥ÁØ ¹× ±ÔÁ¤
¼ÒÇÁÆ®¿þ¾î °ø±Þ¸Á º¸¾È °ü·Ã Ç¥ÁØÀº ¼ÒÇÁÆ®¿þ¾îÀÇ ±¸¼º ¿ä¼Ò ¸í¼¼ÀÎ SBOM(Software Bill of Materials)¸¦ Á¤ÀÇÇÏ´Â ±¹Á¦Ç¥ÁØ°ú ¹Ì±¹ ³» È°¿ëÀ» À§ÇÑ ¹Ì±¹ ³»ºÎ Ç¥ÁØ ¹× ±ÔÁ¤ÀÌ Á¸ÀçÇÑ´Ù.

¸ÕÀú ¹Ì±¹ ´ëÅë·É ÇàÁ¤¸í·É 14028·Î ÀÎÇØ ±ÔÁ¤µÈ °³¹ß´Ü°è¿Í Å×½ºÆà ´Ü°èÀÇ Ç¥ÁØÀ» »ìÆ캸ÀÚ. Secure Software Development Framework(NIST SP 800-218)Àº º¸¾È ¿ä±¸»çÇ×À» Á¤ÀÇÇÏ°í ºôµå ½Ã½ºÅÛÀ» Æ÷ÇÔÇÑ º¸¾È À§ÇèÀ» ½Äº°Çϸç, ÀûÀýÇÑ º¸¾È Á¦¾î¸¦ ¼±ÅÃÇϵµ·Ï ÇÏ¿© ¼ÒÇÁÆ®¿þ¾îÀÇ º¸¾È¼ºÀ» º¸ÀåÇϴµ¥ ¸ñÀûÀÌ ÀÖ´Ù.

Guidelines on Minimum Standards for Developer Verification of Software(NIST IR 8397)Àº ¼ÒÇÁÆ®¿þ¾î °³¹ßÀÚ°¡ ¼ÒÇÁÆ®¿þ¾î Á¦Ç°À» °ËÁõÇϱâ À§ÇÑ ÃÖ¼Ò ±âÁØÀ» Á¦°øÇÑ´Ù. Áö³­ 2023³â 8¿ù¿¡´Â Strategies for the Integration of Software Supply Chain Security in DevSecOps CI/CD pipelines(NIST SP 800-204D)ÀÇ µå·¡ÇÁÆ®°¡ °ø°³µÆ´Âµ¥, ÀÌ ¹®¼­´Â DevSecOps¶ó°í ºÒ¸®´Â ¹ÎøÇÑ SDLC Æз¯´ÙÀÓÀ» À§Çؼ­ »ç¿ëµÇ´Â CI/CD¿¡ °ø±Þ¸Á º¸¾ÈÀ» À§ÇÑ ½ÇÁúÀû Á¶Ä¡°¡ ´ã°å´Ù.

¸¶Áö¸·À¸·Î ¼Ò°³ÇÒ ¹Ì±¹ ¿¬¹æÁ¤ºÎÀÇ ÃßÁø ³»¿ëÀº Secure Software Self-Attestation Common FormÀÌ´Ù. ¿¬¹æÁ¤ºÎ¿¡ ¼ÒÇÁÆ®¿þ¾î¸¦ ³³Ç°ÇÒ ¶§ ÀÛ¼ºÇØ¾ß ÇÏ´Â ¾ç½ÄÀ¸·Î, 2024³âºÎÅÍ µµÀ﵃ °ÍÀ¸·Î ¿¹»óµÈ´Ù.

ÀÌ ¾ç½ÄÀº ¼ÒÇÁÆ®¿þ¾î °³¹ß»ç°¡ ¼ÒÇÁÆ®¿þ¾î °³¹ß ȯ°æÀÇ ¾ÈÀü¿¡ ÃæºÐÇÑ Á¶Ä¡¸¦ ¼öÇàÇß´Ù´Â °Í°ú °³¹ß¿¡ »ç¿ëÇÑ ÄÚµåÀÇ Ãâó¸¦ Àß °ü¸®Çß´Ù´Â °Í, ±×¸®°í ¼ÒÇÁÆ®¿þ¾îÀÇ Ãë¾àÁ¡ Á¦°Å¸¦ À§Çؼ­ ÀÚµ¿È­ ÇÁ·Î¼¼½º¸¦ µµÀÔÇÏ¿© ÃæºÐÈ÷ Á¦°ÅÇß´Ù´Â °ÍÀ» ½º½º·Î È®ÀÎÇÏ´Â °ÍÀÌ´Ù.

¸¸¾à ÀÚ°¡ Áõ¸í ³»¿ëÀÌ °ÅÁþÀ¸·Î µå·¯³¯ °æ¿ì, »ó´çÇÑ ¹ýÀû Ã¥ÀÓÀ» Áö°Ô µÈ´Ù. µû¶ó¼­ ÇöÀç ¹Ì±¹ ¿¬¹æÁ¤ºÎ¿¡ ¼ÒÇÁÆ®¿þ¾î¸¦ ³³Ç°ÇÏ·Á´Â ȸ»çµéÀº ÀÌ ÀÚ°¡ Áõ¸íÀÇ ³»¿ëÀ» ¼öÇàÇϱâ À§ÇØ SW °ø±Þ¸Á °ü·Ã µµ±¸¸¦ µµÀÔÇÏ´Â µî Áغñ¸¦ ¼­µÎ¸£°í ÀÖ´Ù.

±¹Á¦Ç¥ÁØÀ¸·Î´Â Linux Foundation¿¡¼­ Á¦¾ÈÇÑ SPDX(ISO/IEC 5692:2021), OWASP¿¡¼­ Á¦¾ÈÇÑ CycloneDX, ±×¸®°í NIST¿¡¼­ Á¦¾ÈÇÑ SWID(ISO/IEC 19770-2:2015)°¡ ÀÖ´Ù. SPDX´Â ¶óÀ̼±½º °ü¸® µµ±¸·Î¼­ ¸¸µé¾îÁ³À¸³ª ÇöÀç´Â ¼ÒÇÁÆ®¿þ¾î ÆÐÅ°ÁöÀÇ ±¸¼º ¿ä¼Ò¿¡ ´ëÇÑ ÀÚ¼¼ÇÑ Á¤º¸¸¦ °øÀ¯ÇÏ´Â µ¥ À¯¿ëÇÏ°Ô »ç¿ëµÇ°í ÀÖ´Ù.

CycloneDX´Â ¼ÒÇÁÆ®¿þ¾î ±¸¼º ¿ä¼Ò ¸í¼¼ »Ó¸¸ ¾Æ´Ï¶ó Ãë¾àÁ¡ ¸í¼¼ ¹× »çÀ̹ö ¸®½ºÅ© °¨¼Ò¸¦ À§ÇÑ °í±Þ °ø±Þ¸Á ±â´ÉÀ» Á¦°øÇÑ´Ù.

SWID´Â ¹Ì±¹ Á¤ºÎ¿¡¼­ ¼ÒÇÁÆ®¿þ¾î ÀÚ»ê °ü¸®¸¦ À§ÇÑ Ç¥ÁØ ¸ñ·Ï Áß¿¡ Çϳª·Î, ¼ÒÇÁÆ®¿þ¾î Á¦Ç°À» ½Äº°Çϱâ À§ÇØ Á¦Ç°ÀÇ À̸§, ¹öÀü, ÆǸŠ¹öÀü ¹× Á¦Á¶¾÷ü¿Í °ü·Ã Á¤º¸¸¦ Æ÷ÇÔÇÑ´Ù. ÃÖ±Ù °³¹ßµÇ´Â SBOM »ý¼º ¹× °ü¸® ¼ÒÇÁÆ®¿þ¾î´Â ÁÖ·Î SPDX¿Í CycloneDX ¸ðµÎ Áö¿øÇϰųª Çϳª¸¦ ¼±ÅÃÇÏ¿© Áö¿øÇÏ°í ÀÖ´Ù.

±¹³» SW °ø±Þ¸Á º¸¾È °ü·Ã ±ÔÁ¤ ¹× °¡ÀÌµå ¹æÇ⼺ Á¦¾È
ÇöÀç ±¹³»¿¡¼­´Â °ú±âÁ¤ÅëºÎ°¡ KISA¸¦ ÅëÇØ ¼öÇà ÁßÀÎ ½ÇÁõ»ç¾÷À» ÅëÇØ °³¹ß¿¡¼­ ¿î¿µ±îÁö SBOM »ý¼º ¹× ¿î¿µÀ» ½ÇÁõÇغ¸°í ÃÖÁ¾ÀûÀ¸·Î SW °ø±Þ¸Á º¸¾È °¡À̵å¶óÀÎÀ» µµÃâÇÒ ¿¹Á¤ÀÌ´Ù. ÀÌ´Â SW °ø±Þ¸Á º¸¾È °ü·Ã ù °¡À̵å¶óÀÎÀÌ µÉ °ÍÀ¸·Î º¸À̸ç, ÇÐ°è ¹× »ê¾÷°è°¡ ¸¹Àº ±â´ë¸¦ ÇÏ°í ÀÖ´Ù.

ÇâÈÄ ÃßÁøµÇ¾î¾ß ÇÒ ³»¿ëÀ¸·Î´Â ¡®¼ÒÇÁÆ®¿þ¾î °³¹ßº¸¾È °¡À̵塯ÀÇ ¼öÁ¤ ÃßÁøÀÌ ÀÖÀ» ¼ö ÀÖ´Ù. ÀÌ °¡À̵å´Â NIST SP 800-218°ú À¯»çÇÑ ºÎºÐÀÌ ¸¹ÀÌ ÀÖÁö¸¸, SW °ø±Þ¸Á º¸¾È ºÎºÐÀÌ ºüÁ® ÀÖ´Ù. ÀÌ °¡À̵忡 SW °ø±Þ¸Á º¸¾ÈÀÌ Ãß°¡µÈ´Ù¸é, ±¹°¡¡¤°ø°ø±â°ü¿¡ µµÀԵǴ ¼ÒÇÁÆ®¿þ¾îÀÇ °ø±Þ¸Á º¸¾ÈÀÌ »ó´çÈ÷ °­È­µÉ °ÍÀÌ´Ù.

¸¶Áö¸·À¸·Î ¼ÒÇÁÆ®¿þ¾î¸¦ µµÀÔ¡¤¿î¿µÇÏ´Â ±â°üÀ» À§ÇÑ ¼ÒÇÁÆ®¿þ¾î ¹× °ø±Þ¸Á º¸¾È ¿î¿ë °¡À̵åÀÇ Çʿ伺À» Á¦¾ÈÇÑ´Ù. Log4j »çÅ¿¡¼­ º¸µíÀÌ, ½É°¢ÇÑ Ãë¾àÁ¡ÀÌ ¹ß°ßµÇ¸é À̸¦ ¾Ç¿ëÇÏ´Â »çÀ̹ö °ø°ÝÀÌ Áï°¢ÀûÀ¸·Î ¹ß»ýÇÏ°í ÀÖ´Ù.

ÀÌ·± °ø°Ý¿¡ ´ëÀÀÇϱâ À§Çؼ­´Â Ãë¾àÁ¡ÀÌ ¹ß°ßµÈ ¼ÒÇÁÆ®¿þ¾î¸¦ ÆÐÄ¡, Á¦°Å ¶Ç´Â ³×Æ®¿öÅ©¸¦ ÅëÇÑ °ø°Ý ¿ÏÈ­°¡ ºü¸¥ ½Ã°£³»¿¡ ¼öÇàµÇ¾î¾ß ÇÏÁö¸¸, ÇöÀç ´ëºÎºÐÀÇ ±â°üµéÀº ±â°ü³»¿¡ ¾î¶² ¼ÒÇÁÆ®¿þ¾î°¡ ¼³Ä¡µÇ¾î ÀÖ´ÂÁöÁ¶Â÷ ¸ð¸£°í ÀÖ´Â ½ÇÁ¤ÀÌ´Ù. ÀÌ·± »óȲ¿¡¼­ Á¦2, Á¦3ÀÇ Log4j°¡ ¹ß°ßµÇ¸é ´Ù½Ã ¶È°°Àº ÇÇÇظ¦ ÀÔ°Ô µÈ´Ù.

À̸¦ ¹æÁöÇϱâ À§Çؼ­ ¼ÒÇÁÆ®¿þ¾î¸¦ µµÀÔÇÒ ¶§ºÎÅÍ ¾ÈÀüÇÏ°Ô °³¹ßµÇ°í °ø±Þ¸ÁÀÌ Àß °ü¸®µÈ ¼ÒÇÁÆ®¿þ¾î¸¦ µµÀÔÇØ¾ß ÇÑ´Ù. ¶ÇÇÑ, Ãë¾àÁ¡ ¹ß°ß ½Ã ºü¸£°Ô Á¶Ä¡ÇÒ ¼ö ÀÖµµ·Ï ±â°ü ³» ÄÄÇ»ÅÍ¿¡ ¼³Ä¡µÈ ¸ðµç ¼ÒÇÁÆ®¿þ¾î¸¦ °ü¸®ÇÏ°í, ÃßÈÄ ¾÷µ¥ÀÌÆ® ¼öÇà ½Ã ¾÷µ¥ÀÌÆ®¸¦ ÅëÇÑ Çü»ó º¯È­ µîµµ öÀúÈ÷ °ü¸®ÇØ¾ß ÇÑ´Ù.

¡ãÀ̸¸Èñ Çѳ²´ë ±³¼ö(°ø±Þ¸Áº¸¾È¿¬±¸È¸ À§¿øÀå)[»çÁø=º¸¾È´º½º]

Çö »óȲ¿¡¼­ ´çÀå ÃßÁøÇϱâ´Â ¾î·Á¿ïÁö¶óµµ Àå±âÀûÀ¸·Î ÀÌ·¯ÇÑ °ü¸®°¡ ÇÊ¿äÇϸç, ƯÈ÷ ¸ÁºÐ¸® ÆíÀǼºÀÌ Á¦°íµÇ¾î Á¦·ÎÆ®·¯½ºÆ® °³³äÀÌ ±¸ÇöµÈ Â÷¼¼´ë ¸ÁºÐ¸®°¡ µµÀԵǰųª °ø°ø±â°ü µ¥ÀÌÅÍ°¡ ¹Î°£ Ŭ¶ó¿ìµå¿¡ žÀçµÉ °æ¿ì, °ü·ÃµÈ ¼ÒÇÁÆ®¿þ¾î °ü¸®°¡ ´õ¿í öÀúÈ÷ ÀÌ·ç¾îÁ®¾ß ÇÑ´Ù.

½Ã»çÁ¡
¼ÒÇÁÆ®¿þ¾î°¡ ¾ø´Â 4Â÷ »ê¾÷Çõ¸íÀº Á¸ÀçÇÒ ¼ö ¾ø°í, °ø±Þ¸Á º¸¾ÈÀÌ ¾ø´Â ¼ÒÇÁÆ®¿þ¾î º¸¾È ¶ÇÇÑ ºÒ°¡´ÉÇϹǷÎ, SW °ø±Þ¸Á º¸¾ÈÀº 4Â÷ »ê¾÷Çõ¸í ½Ã´ë¿¡ Çʼö¶ó°í ÇÒ ¼ö ÀÖ´Ù. Áö±Ý±îÁö ¼ÒÇÁÆ®¿þ¾î °ø±Þ¸Á º¸¾ÈÀÇ À§Çù°ú Ç¥ÁØÈ­ ÇöȲÀ» °£´ÜÈ÷ ¼Ò°³Çß°í, ±¹³» SW °ø±Þ¸Á º¸¾È °ü·Ã ±ÔÁ¤ ¹× °¡ÀÌµå ¹æÇ⼺À» Á¦¾ÈÇß´Ù.

¼ÒÇÁÆ®¿þ¾î °ø±Þ¸Á À§ÇùÀº ³¯·Î ½ÉÇØÁö°í ÀÖÀ¸¸ç, ÀÌ ¹®Á¦¸¦ ÇØ°áÇϱâ À§ÇØ Á¦Á¤µÇ°í ÀÖ´Â °ü·Ã Ç¥ÁصéÀº ÇâÈÄ ¼ÒÇÁÆ®¿þ¾î °³¹ß º¸¾È¿¡ Å« ¿µÇâÀ» ¹ÌÄ¥ °ÍÀ¸·Î ¿¹»óµÇ¹Ç·Î ¼ÒÇÁÆ®¿þ¾î °³¹ßÀÚµéÀÇ Æ¯º°ÇÑ °ü½ÉÀÌ ÇÊ¿äÇÒ °ÍÀ¸·Î º¸ÀδÙ. ¶ÇÇÑ, ±¹³» °ü·Ã ±â°ü¿¡¼­ SW °ø±Þ¸Á º¸¾È °ü·Ã ±ÔÁ¤ ¶Ç´Â °¡À̵å ÀÛ¼ºÀ» ÃßÁøÇÒ ¶§, ±â¾÷¿¡ ´ëÇÑ ±ÔÁ¦·Î ¹Þ¾ÆµéÀ̱⺸´Ù ±¹°¡¾Èº¸¸¦ Çâ»ó½ÃÅ°±â À§ÇÑ ¼¼°èÀû Ãß¼¼ÀÓÀ» ÀÌÇØÇÏ°í, °¡À̵å ÀÛ¼º ¹× ½ÇÁõ »ç¾÷¿¡ Àû±Ø Âü¿©ÇÏ°í ÇùÁ¶ÇÏ´Â ºÐÀ§±â°¡ Çü¼ºµÇ±â¸¦ ±â´ëÇÑ´Ù.
[±Û _ À̸¸Èñ Çѳ²´ëÇб³ ÄÄÇ»ÅÍ°øÇаú ±³¼ö/°ø±Þ¸Áº¸¾È¿¬±¸È¸ À§¿øÀå)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)