[º¸¾È´º½º ÀÌ¼Ò¹Ì ±âÀÚ] ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È Àü¹®±â¾÷ ½ºÆзοì(´ëÇ¥ ÀåÀϼö)´Â 13ÀÏ ¿ÀÈÄ ¼¿ï ¾çÀç ¿¤Å¸¿ö¿¡¼ ¿¬·Ê °í°´ ÃÊû Çà»çÀÎ ¡®PUC 2024(Power User Conference)¡¯¸¦ °³ÃÖÇß´Ù. ½ºÆзοì´Â À̹ø Çà»ç¿¡¼ ±¹³»¿Ü ÃÖ´ë º¸¾È À̽´ Áß ÇϳªÀÎ SW °ø±Þ¸Á º¸¾È µ¿Çâ°ú ÀÌ¿¡ ´ëÀÀÇϱâ À§ÇÑ ½ÇÁ¦ Àû¿ë »ç·Ê¸¦ °øÀ¯Çß´Ù.
¡ã¡®PUC 2024¡¯¿¡¼ ÀåÀϼö ´ëÇ¥°¡ ¹ßÇ¥¸¦ ÁøÇàÇÏ°í ÀÖ´Ù[»çÁø=½ºÆзοì]
½ºÆзοìÀÇ PUC´Â ´Ù¾çÇÑ »ê¾÷±ºÀÇ IT¡¤º¸¾È ´ã´çÀڵ鿡°Ô ÃֽŠ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È ÇöȲ ¹× ´ëÀÀÃ¥À» °øÀ¯ÇÏ°íÀÚ ¸¶·ÃµÇ´Â ¿¬·Ê ÄÜÆÛ·±½º·Î ¿ÃÇØ´Â ¡®Next Generation Application Security(Â÷¼¼´ë ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È)¡¯¸¦ ÁÖÁ¦·Î °³ÃֵƴÙ. ½ºÆзοì´Â À̳¯ SW °ø±Þ¸Á º¸¾È ¹æ¾È°ú SW °ø±Þ¸Á Âü¿©ÀÚµéÀÇ ¿ªÇÒÀ» Á¦½ÃÇÏ°í, ½Å±â¼ú ±â¹ÝÀÇ Ãë¾àÁ¡ ÅëÇÕ °ü¸® Ç÷§ÆûÀ» Á¦°øÇϱâ À§ÇÑ ½ºÆзοìÀÇ Àü·«À» ¼Ò°³Çß´Ù.
Å°³ëÆ®·Î Çà»ç¸¦ ¿¬ ÀåÀϼö ½ºÆÐ·Î¿ì ´ëÇ¥´Â ¡°¼ÒÇÁÆ®¿þ¾î ÀÚÀç¸í¼¼¼(SBOM) Á¦ÃâÀ» Àǹ«ÈÇÏ´Â EUÀÇ »çÀ̹ö º¹¿ø·Â ¹ý¾È ¹ßÀÇ¿Í ¹Ì±¹ÀÇ ¾ÈÀüÇÑ SW °³¹ß ü°è(SSDF) Áؼö ¿ä±¸ µî °¢±¹¿¡¼ °ø±Þ¸Á º¸¾È °È¸¦ À§ÇÑ Á¦µµÈ¸¦ ÃßÁø Áß¡±À̶ó¸ç, ¡°SWÀÇ ½Å·Ú¼º È®º¸ ¹æ¾ÈÀ¸·Î SBOMÀÌ ÁÖ¸ñ¹Þ´Â °¡¿îµ¥ °ø±Þ¸Á Âü¿©ÀÚµéÀº ¿ÀǼҽº »Ó¸¸ ¾Æ´Ï¶ó ÀÚü °³¹ß ¹× »ó¿ë SW¿¡ Á¸ÀçÇÏ´Â Ãë¾àÁ¡À» Áö¼Ó ¸ð´ÏÅ͸µÇØ °ø±Þ¸Á °ü¸® ü°è ±¸ÃàÀ» ÅëÇØ º¹¿ø·ÂÀ» °ÈÇØ¾ß ÇÑ´Ù¡±°í °Á¶Çß´Ù.
ÀÌ¾î¼ ÀåÀϼö ´ëÇ¥´Â SW °³¹ß ¼ö¸í ÁÖ±â(SDLC)¿¡ º¸¾È Å×½ºÆ®¸¦ ÀÚµ¿ÈÇÏ°í Ãë¾àÁ¡À» ÅëÇÕ °ü¸®Çϱâ À§ÇÑ ¹æ¾ÈÀ¸·Î ¡®½ºÆÐ·Î¿ì ¿£ÅÍÇÁ¶óÀÌÁî(Sparrow Enterprise)¡¯¸¦ Á¦½ÃÇß´Ù. Àå ´ëÇ¥´Â ¡°¼Ò½ºÄڵ塤¿ÀǼҽº¡¤À¥ Ãë¾àÁ¡À» ÇϳªÀÇ Ç÷§Æû¿¡¼ ºÐ¼®ÇÏ´Â ½ºÆÐ·Î¿ì ¿£ÅÍÇÁ¶óÀÌÁî´Â CI/CD µµ±¸ ¹× Çü»ó°ü¸® µµ±¸¿Í ¿¬µ¿ÇØ µ¥ºê¼½¿É½º(DevSecOps)¸¦ ±¸ÇöÇÒ ¼ö ÀÖ´Ù¡±¸ç, ¡°Ãë¾àÁ¡ Á¡°Ë °á°ú º¸°í¼¿Í ´Ù¾çÇÑ SBOM Æ÷¸ËÀ» Áö¿øÇØ SW Åõ¸í¼º È®º¸°¡ °¡´ÉÇÏ´Ù¡±°í ¼³¸íÇß´Ù.
Å°³ëÆ® ÀÌÈÄ¿¡´Â ½ÇÁ¦·Î ½ºÆзοì Á¦Ç°À» È°¿ëÇØ SW °ø±Þ¸Á º¸¾ÈÀ» Àû¿ëÇÑ »ç·Ê°¡ °øÀ¯µÆ´Ù. ÅëÇÕ Á¢±ÙÅëÁ¦ ¹× °èÁ¤°ü¸® ¼Ö·ç¼Ç Àü¹® ±â¾÷ ³Ý¾ØµåÀÇ ¹ÚÀÏ ºÎÀåÀÌ ¹ßÇ¥ÀÚ·Î ³ª¼ ¡â½ÃÅ¥¾î ÄÚµù(SAST) ¡â¿ÀǼҽº °ü¸®(SCA) ¡âÀ¥ Ãë¾àÁ¡ ºÐ¼®(DAST) µµ±¸·Î Ãë¾àÁ¡ °ü¸® ÇÁ·Î¼¼½º¸¦ ±¸ÃàÇØ »çÈÄ °ü¸® ºñ¿ë°ú ¸®¼Ò½º¸¦ Àý°¨ÇÑ »ç·Ê¸¦ °ø°³Çß´Ù. Á¤º¸º¸È£ Àü¹®¼ºñ½º ±â¾÷ ÇɽÃÅ¥¸®Æ¼ÀÇ Çѹαâ ÆÀÀåÀº ½ºÆзοì¿Í ÄÁ¼Ò½Ã¾öÀ» ¸Î¾î Âü¿©ÇÑ SW °ø±Þ¸Á º¸¾È ½ÇÁõ »ç¾÷À» ±â¹ÝÀ¸·Î SW ¿î¿µ»ç °üÁ¡¿¡¼ÀÇ SBOM È°¿ë °¡À̵带 ¼³¸íÇß´Ù.
ÇÑÆí À̹ø Çà»ç¿¡¼´Â ÃֽŠ±â¼ú µîÀå¿¡ ¹ß¸ÂÃá ½ºÆзοìÀÇ ·Îµå¸Êµµ °ø°³µÆ´Ù. ½ºÆзοì À±Á¾¿ø ¼ö¼® ¿¬±¸¿øÀº ¹ßÇ¥¸¦ ÅëÇØ ¡°IaC(Infrastructure as Code, ÄÚµåÇü ÀÎÇÁ¶ó)¡¤ÄÁÅ×ÀÌ³Ê µî ¾ÖÇø®ÄÉÀÌ¼Ç °³¹ß ȯ°æ¿¡ ½Å±â¼úÀÌ Àû¿ëµÇ¸é¼ »õ·Î¿î º¸¾È À§Çù ¶ÇÇÑ µîÀåÇÏ°í ÀÖ´Ù¡±¸ç, ¡°½ºÆзοì´Â IaC ±â¹Ý ÀÎÇÁ¶ó Ãë¾àÁ¡ Áø´Ü°ú API ¸í¼¼ ±â¹Ý º¸¾È Ãë¾àÁ¡ µ¿Àû Áø´Ü ¹× ÄÁÅ×ÀÌ³Ê À̹ÌÁö ºÐ¼® µîÀ» Áö¼Ó ¿¬±¸ÇØ ´ëÀÀÇØ ³ª°¥ °Í¡±À̶ó°í ¹àÇû´Ù.
[ÀÌ¼Ò¹Ì ±âÀÚ(boan4@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>