Home > Àüü±â»ç

SW °ø±Þ¸Á °ø°Ý À§ÇùÀÌ °Å¼¼Áú¼ö·Ï SBOMÀÇ Á߿伺ÀÌ Ä¿Áö´Â ÀÌÀ¯

ÀÔ·Â : 2024-05-29 14:13
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
°ø°³ SWÀÇ È°¿ë ¹× º¸¾ÈÃë¾àÁ¡ ÇöȲ ºÐ¼®
ÁÖ¿ä SW °ø±Þ¸Á °ø°Ý À¯Çü°ú ´ëÀÀÃ¥


[º¸¾È´º½º ±è°æ¾Ö ±âÀÚ] SW °ø±Þ¸Á °ø°Ý À§ÇùÀÌ Á¡Á¡ ´õ Áõ°¡ÇÏ°í ÀÖ´Ù. ÁÖ¿ä SW °ø±Þ¸Á °ø°Ý À¯ÇüÀº ¡â°ø°³ SW º¸¾ÈÃë¾àÁ¡ ¡âŸ»ç ÀÇÁ¸¼º ¡â°ø¿ë ¸®Æ÷ÁöÅ丮 ¡âº¯È¯ ½Ã½ºÅÛ ¡â¾÷µ¥ÀÌÆ® °¡·Îä±â ¡â³»ºÎ ¸®Æ÷ÁöÅ丮 ¡â°ø±Þ»ç ¹× Çù·Â»ç Ÿ±ê µîÀÌ´Ù. µû¶ó¼­ ±â¾÷°ú ±â°ü¿¡¼­´Â ÀÌ·¯ÇÑ SW °ø±Þ¸Á °ø°Ý¿¡ ´ëÇØ °¢º°ÇÑ ÁÖÀÇ¿Í ÇÔ²² öÀúÇÑ ´ëÀÀÀÌ ¿ä±¸µÈ´Ù.

[À̹ÌÁö=gettyimagesbank]


1. ÁÖ¿ä SW °ø±Þ¸Á °ø°Ý À¯Çü
¨ç°ø°³ SW º¸¾ÈÃë¾àÁ¡(Vulnerabilities in OSS)

°ø°³ SW¿¡ Ãë¾àÇÑ ÄÚµå ¶Ç´Â À¯ÇØÇÑ ±¸¼º¿ä¼Ò°¡ Æ÷ÇԵǾî Ãë¾à¼ºÀÌ °ø°³ SW¸¦ »ç¿ëÇÏ´Â ¸ðµç SW¿¡ ÀüÆÄµÉ ¼ö ÀÖ´Ù.

¨èŸ»ç ÀÇÁ¸¼º(3rd Party Dependencies)
°ø°ÝÀÚ°¡ Ÿ»ç SW(»ó¿ë SDK, ¶óÀ̺귯¸® ¶Ç´Â ÄÄÆ÷³ÍÆ®13)¿¡ ¾Ç¼ºÄڵ带 »ðÀÔÇØ À̸¦ ¾Ç¿ëÇÏ´Â ¿î¿µ ½Ã½ºÅÛÀ» ħÇØÇÒ ¼ö ÀÖ´Ù.

¨é°ø¿ë ¸®Æ÷ÁöÅ丮(Public Repositories)
°ø°³ SW Äڵ带 ã´Â °³¹ßÀÚ¸¦ ¸ñÇ¥·Î ±êÇãºê(GitHub) µî ¾Ë·ÁÁø ¸®Æ÷ÁöÅ丮 È£½ºÆà ¼­ºñ½º¿¡ ÇÕ¹ýÀûÀÎ SW ÆÐÅ°Áö¿Í À¯»çÇÑ À̸§À» °¡Áø ¾Ç¼ºÄڵ带 ¾÷·ÎµåÇÒ ¼ö ÀÖ´Ù.

¨êº¯È¯ ½Ã½ºÅÛ(Build Systems)
°³¹ß ÇÁ·Î¼¼½º ÀÚµ¿È­¸¦ À§ÇÑ CI/CD »óÀÇ Áß¿ä ÄÚµå, ¸®Æ÷ÁöÅ丮, ÄÁÅ×ÀÌ³Ê ¹× º¯È¯ ¼­¹ö¸¦ ħÇØÇØ ¾Ç¼ºÄÚµå·Î ±³Ã¼ÇÒ ¼ö ÀÖ´Â À§ÇèÀÌ ÀÖ´Ù.

¨ë¾÷µ¥ÀÌÆ® °¡·Îä±â(Hijacking Updates)
°ø°ÝÀÚ°¡ SW ¾÷µ¥ÀÌÆ® °úÁ¤À» ħÇØÇϰųª ¾÷µ¥ÀÌÆ® ¼­¹öÀÇ °ü¸® ±ÇÇÑÀ» °¡·Îä¾î ¾Ç¼ºÄڵ带 »ðÀÔÇÒ ¼ö ÀÖ´Â À§Ç輺ÀÌ Á¸ÀçÇÑ´Ù.

¨ì³»ºÎ ¸®Æ÷ÁöÅ丮(Private Repositories)
°ø°ÝÀÚ°¡ ±â¾÷ ³»ºÎ¿¡¼­ »ç¿ë ÁßÀÎ ÄÚµå ÀúÀå¼Ò¿¡ ħÀÔÇÏ¿© ¾Ç¼ºÄڵ带 »ðÀÔÇÒ ¼ö ÀÖ¾î À§ÇèÇÏ´Ù.

¨í°ø±Þ»ç ¹× Çù·Â»ç(Suppliers and Business Partners)
SW ºÎÇ° ¶Ç´Â ¿ÏÁ¦Ç° °³¹ß»ç, °ø±Þ»ç µîÀ¸·ÎºÎÅÍ ¿ÜºÎ ¼­ºñ½º¸¦ Á¦°ø¹Þ´Â °æ¿ì °ü¸®µÇÁö ¾Ê´Â Ÿ»ç À§Çè(Risk)ÀÌ ³»ºÎ ½Ã½ºÅÛÀ¸·Î ÀüÀÌµÉ ¼ö ÀÖ´Ù.

2. SW°ø±Þ¸Á °ø°Ý ´ëÀÀ¹æ¾È SBOM
ÀÌ·¯ÇÑ º¸¾È À§Çù¿¡ µû¶ó SW °ø±Þ¸Á º¸¾ÈÀÌ °¥¼ö·Ï Áß¿äÇØÁö°í ÀÖ´Ù. ƯÈ÷ SW ÀüüÀÇ ±¸¼º¿ä¼Ò¸¦ ¸ñ·ÏÈ­ÇÑ SBOMÀÌ ´ëÀÀ¹æ¾ÈÀ¸·Î ÁÖ¸ñ¹Þ°í ÀÖ´Ù.

¹Ì±¹ NTIA´Â SBOMÀ» ¡®SW Àç·áÀÇ ¸ñ·Ï¡¯, Áï SW ±¸Ãà¿¡ »ç¿ëµÇ´Â ´Ù¾çÇÑ ±¸¼º¿ä¼ÒÀÇ ¼¼ºÎ»çÇ×°ú °ø±Þ¸Á °ü°è¸¦ Æ÷ÇÔÇÏ´Â °ø½ÄÀûÀÎ ±â·ÏÀ¸·Î Á¤ÀÇÇÏ°í ÀÖ´Ù. SW ±¸¼º¿ä¼ÒÀÇ Åõ¸í¼º °­È­ ¹æ¾ÈÀ¸·Î SBOMÀÇ ÃÖ¼Ò ¿ä°ÇÀ» Á¦½ÃÇÏ°í Àִµ¥, °¢ ±â¾÷(±â°ü)ÀÇ »ç¿ë ¸ñÀû¿¡ ºÎÇÕÇϵµ·Ï SBOM¿¡ Æ÷ÇÔµÅ¾ß ÇÏ´Â Ç׸ñÀ» Ãß°¡¡¤¼öÁ¤ÇØ È°¿ëÇÒ ¼ö ÀÖ´Ù.

°úÇбâ¼úÁ¤º¸Åë½ÅºÎ°¡ ¹ß°£ÇÑ ¡®SW °ø±Þ¸Á º¸¾È °¡À̵å¶óÀÎ v1.0(ÀÌÇÏ °¡À̵å¶óÀÎ)¡¯¿¡ µû¸£¸é ¡®SBOM ±â¹Ý SW °ø±Þ¸Á °­È­ ¹æ¾È¡¯Àº ¿ÜºÎ SW ¶Ç´Â ÀÚü °³¹ß SW´Â ´Ù¾çÇÑ °ø°³ SW¸¦ Æ÷ÇÔÇÒ ¼ö ÀÖ´Ù. SBOM ±â¹Ý SW °ø±Þ¸Á º¸¾È°ü¸® ü°è¸¦ ÅëÇØ º¸¾È Ãë¾àÁ¡ µî °ø°³ SW È°¿ë¿¡ µû¸¥ À§Çè¿¡ ´ëÀÀÇÒ ¼ö ÀÖ´Ù.

¨ç°³¹ß»ç
°³¹ß»ç´Â SW °³¹ß »ý¸íÁÖ±â Àü¹Ý¿¡ °ÉÄ£ SW À§Çè°ü¸®¸¦ À§ÇØ ±âÃÊ µ¥ÀÌÅÍ°¡ µÇ´Â SBOM »ý¼ºÀ» À§ÇÑ Çʼö ¼³ºñ¸¦ ±¸ÃࡤȰ¿ëÇÒ ¼ö ÀÖ´Ù. SBOM ±â¹ÝÀÇ SW °ø±Þ¸Á º¸¾ÈÀ» À§ÇÑ ±âÃÊ ¼³ºñ´Â SBOM µµ±¸(°ø°³ SW ¹× »ó¿ë µµ±¸), SW ±¸¼º¿ä¼Ò ÀúÀå¼Ò, SBOM µ¥ÀÌÅͺ£À̽º(DB), SW À§Çè Æò°¡ ¹× °ü¸®¸¦ À§ÇÑ ÀÚü º¸¾ÈÃë¾àÁ¡ DB ¹× NVD ¿¬°è µîÀÌ´Ù. ÀÌ¿Í °°Àº SBOM ±âÃÊ ¼³ºñ¸¦ ¹ÙÅÁÀ¸·Î SW °ø±Þ»ç, ¿î¿µ»ç¿¡ ´ëÇÑ SW ±¸¼º¿ä¼Ò ÀÚ»ê Æľǰú º¸¾ÈÆÐÄ¡ µîÀ» ÅëÇØ »çÀ̹öº¸¾È À§Çù¿¡ ¼±´ëÀû ´ëÀÀ°ú ½Å¼ÓÇÑ »çÈÄ ´ëÀÀµµ °¡´ÉÇÏ´Ù.

¨è°ø±Þ»ç ¹× ¿î¿µ»ç
°ø±Þ»ç¿Í ¿î¿µ»ç´Â °³¹ß»ç ¡æ °ø±Þ(À¯Åë)»ç ¡æ ¿î¿µ»ç·Î À̾îÁö´Â SW °ø±Þ¸Á¿¡ ´ëÇÑ SBOM À¯Åë ü°è¸¦ ±¸ÃàÇÒ ¼ö ÀÖ´Ù. °¡À̵å¶óÀο¡¼­´Â °ø°ø±â°ü°ú Çù´Üü µî¿¡ ¡®»ê¾÷º° SW °ø±Þ¸Á °ÅÁ¡¡¯À» ±¸ÃàÇÏ°í, ´Ù¼öÀÇ °ø±Þ¸Á »ýÅ°迡 °ËÁõµÈ Á¤º¸¸¦ Á¦°øÇÏ´Â °Ô ÀÌ»óÀûÀΠü°è¶ó°í ¼³¸íÇÏ°í ÀÖ´Ù.

3. SBOM ±â¹Ý SW °ø±Þ¸Á º¸¾È ¹ßÀü ¹æ¾È
Á¤ºÎ´Â ¹Î°£ Àü¹®°¡µéÀÇ ÀÇ°ßÀ» ¼ö·ÅÇØ SBOM ±â¹ÝÀÇ SW °ø±Þ¸Á º¸¾È ¹ßÀü ¹æ¾ÈÀ¸·Î ¡â°³¹ß±â¾÷ÀÇ SW Åõ¸í¼º È®º¸ Áö¿ø ¡âSBOM°ú SW °ø±Þ¸Á º¸¾È¿¡ ´ëÇÑ Àû±ØÀû ÅõÀÚ ¡â°ø±ÞÀÚ¿Í ¼ö¿äÀÚ°¡ ¿¬°èµÇ´Â SBOM ±â¹Ý °ø±Þ¸Á º¸¾È °ü¸® ¡â¾ÈÀüÇÑ SW °³¹ß ȯ°æ Á¶¼º µîÀÇ »çÀ̹ö º¹¿ø·Â °­È­¸¦ Á¦½ÃÇÏ°í ÀÖ´Ù.

¨ç°³¹ß±â¾÷ÀÇ SW Åõ¸í¼º È®º¸ Áö¿ø
ù°, °³¹ß±â¾÷ÀÇ SW Åõ¸í¼º È®º¸ Áö¿øÀÌ ÇÊ¿äÇÏ´Ù. ±¹³» Áß¼Ò±â¾÷µéÀÌ SW °ø±Þ¸Á º¸¾È ü°è¸¦ ±¸ÃàÇϱâ À§Çؼ­´Â Àη°ú ½Ã¼³ µî¿¡ ´ëÇÑ ÅõÀÚ°¡ ÇÊ¿äÇÏ´Ù. ±â¾÷µéÀÇ ÀÌ¿Í °°Àº Ãʱâ ÅõÀÚ¿¡ ´ëÇÑ ºÎ´ãÀ» ¿ÏÈ­Çϱâ À§ÇØ ¹üÁ¤ºÎ Â÷¿øÀÇ Áö¿ø¼¾ÅÍ ¿î¿µ, SBOM ±â¹ÝÀÇ SW °ø±Þ¸Á º¸¾È°ü¸® ü°è µµÀÔ Áö¿ø ¹× SW °ø±Þ¸Á º¸¾È °ü¸® °øÅë¸ðµ¨ ¿¬±¸°¡ ¿ä±¸µÈ´Ù.

¨èSBOM ¹× SW °ø±Þ¸Á º¸¾È¿¡ ´ëÇÑ Àû±ØÀû ÅõÀÚ
±â¾÷¿¡¼­´Â SW °ø±Þ¸Á¿¡ ´ëÇÑ »çÀ̹ö À§Çù¿¡ ´ëÀÀÇÏ°í, ¹Ì±¹°ú À¯·´ µî ÁÖ¿ä±¹ ½ÃÀå¿¡¼­ ÃßÁøÇÏ°í ÀÖ´Â ¹«¿ªÀ庮¿¡ ´ëÀÀÇϱâ À§ÇØ SBOM°ú °ø±Þ¸Á º¸¾È ±â¼ú È®º¸¸¦ À§ÇÑ Àû±ØÀûÀÎ ÅõÀÚ°¡ ÇÊ¿äÇÏ´Ù. º¸¾È ¼öÁØÀÌ ³ôÀº ±â¾÷Àº ½Å·Úµµ°¡ Çâ»óµÇ°í, ½Å·Úµµ°¡ ³ôÀº ±â¾÷ÀÇ Á¦Ç°°ú ¼­ºñ½º´Â ¼ÒºñÀÚ°¡ ¹Ï°í ±¸¸ÅÇÒ ¼ö ÀÖ´Ù´Â °ÍÀ» ¸í½ÉÇÒ ÇÊ¿ä°¡ ÀÖ´Ù.

¨é°ø±ÞÀÚ¿Í ¼ö¿äÀÚ°¡ ¿¬°èµÇ´Â SBOM ±â¹Ý °ø±Þ¸Á º¸¾È °ü¸®
±â°ü ³» IT ÀÚ»ê°ú SW, ±×¸®°í SWÀÇ ±¸¼º¿ä¼Ò¸¦ °°ÀÌ °ü¸®ÇÏ°í °ü·Ã º¸¾È Ãë¾àÁ¡À» Áö¼ÓÀûÀ¸·Î ¸ð´ÏÅ͸µÇÒ ¼ö ÀÖ´Â ÀÔüÀûÀÎ °ü¸®Ã¼°è¸¦ ±¸ÃàÇØ¾ß ÇÑ´Ù. À̸¦ ¹ÙÅÁÀ¸·Î SW °³¹ß±â¾÷°ú ¼ö¿ä±â¾÷ÀÇ °ø±Þ¸Á °ü¸®Ã¼°è°¡ ¿¬µ¿µÉ ¼ö ÀÖ´Ù¸é »óÈ£ ½Ã³ÊÁö È¿°ú¸¦ ¹ßÈÖÇÒ ¼ö ÀÖ°í, »ê¾÷ Àü¹Ý¿¡¼­ ¼±¼øȯ È¿°ú¸¦ âÃâÇÒ ¼ö ÀÖ´Ù.

¨ê¾ÈÀüÇÑ SW °³¹ß ȯ°æ Á¶¼º µî »çÀ̹ö º¹¿ø·Â °­È­
SW À§Çè°ü¸®¿Í »çÀ̹ö º¹¿ø·ÂÀ» °­Á¶ÇÏ°í, ÇâÈÄ À̸¦ Á¦µµÀûÀ¸·Î ±¸Ã¼È­ÇÏ°í ½ÇÇàÇϱâ À§ÇÑ ¹ýÀû¡¤±â¼úÀû ÇÁ·¹ÀÓ¿öÅ©¸¦ µµÀÔÇÒ ÇÊ¿ä°¡ ÀÖ´Ù. ½ÃÀå¿¡ °ø±ÞµÇ´Â SW Á¦Ç° ¹× ¼­ºñ½º µîÀÇ »ý¾ÖÁÖ±â Àü¹Ý¿¡¼­ º¸¾È°ü¸®¸¦ °­È­ÇÏ°í, ¼ÒºñÀÚ°¡ º¸¾È¼º ³»ÀçÈ­ ¿©ºÎ¸¦ °í·ÁÇÒ ¼ö ÀÖµµ·Ï Á¦µµÈ­(º¸¾È ÀûÇÕ¼º, IoT º¸¾È ¶óº§¸µ µî) ÇÏ´Â ¹æ¾Èµµ ÇÊ¿äÇÏ´Ù.

¨ëSBOMÀÇ ¾ÈÀüÇÑ È°¿ë ¹× ±â¹Ð¼º º¸Àå ±â¹Ý °øÀ¯ ¹æ¾È
SBOMÀº ±â¾÷µéÀÌ °ø°³¸¦ ²¨¸®´Â ´Ù¾çÇÑ Á¤º¸¸¦ Æ÷ÇÔÇÒ ¼ö ÀÖ´Ù. ÀÌ¿Í °ü·Ã Á¤ºÎ´Â ¡°SBOM È°¿ë¿¡ µû¸¥ SW °³¹ß±â¾÷ÀÇ ¸®½ºÅ©¸¦ ÃÖ¼ÒÈ­Çϸ鼭µµ º¸¾È Ãë¾àÁ¡ °ü¸®¸¦ ÅëÇØ ¼ö¿äÀÚÀÇ º¸¾È ¸®½ºÅ©µµ µ¿½Ã¿¡ ÃÖ¼ÒÈ­ ÇÒ ¼ö ÀÖ´Â ¹æ¾ÈÀÌ ÇÊ¿äÇÏ´Ù¡±¸ç ¡°À̸¦ ÇØ°áÇϱâ À§ÇØ SBOMÀÇ ±â¹Ð¼ºÀ» º¸ÀåÇϸ鼭 µ¿½Ã¿¡ SBOMÀ» ¾ÈÀüÇÏ°Ô °øÀ¯ÇÏ´Â ±â¼ú¿¡ ´ëÇÑ ´Ù¾çÇÑ ¿¬±¸°¡ ÇÊ¿äÇÏ´Ù¡±°í ¹àÇû´Ù.
[±è°æ¾Ö ±âÀÚ(boan3@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)