편집 : 2023.2.2 목 22:01
뉴스
아쿠아시큐리티, 美 행정명령 ‘14028’ 준수 SW공급망 제공30일 이내에 충족할 수 있도록 지원
김동기 기자  |  kdk@bikorea.net
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
승인 2022.11.21  09:49:50
트위터 페이스북 미투데이 요즘 네이버 구글 msn

아쿠아 시큐리티(Aqua Security, 이하 아쿠아)는 21일 발표를 통해, 엔터프라이즈급 벤더로는 유일하게 미국 행정명령(EO) 14028을 준수한다는 소프트웨어 공급망 보안 증명을 제공한다고 밝혔다.

미국 정부의 ‘국가 사이버 보안 개선’을 위한 행정명령은 제로트러스트(Zero Trust) 아키텍처를 연방정부에서 구현하도록 요구하고, 미 연방기관에 SW 내장 제품을 납품할 경우 SBOM(Software Bill of Materials, SW의 구성요소를 식별하기 위한 명세서) 제출을 의무화해야 한다.

이번 미 정부의 행정명령은 써드파티 소프트웨어 기업이 미국의 사이버보안을 강화하고, 미국을 악의적 사이버 행위자로부터 보호하기 위해 충족하거나 초과 달성해야 하는 모든 소프트웨어 공급망 요건을 열거하고 있다.

국내 역시 올해 초 ‘정보보안 리더의 밤’ 행사에서 이동범 한국정보보호산업협회(KISIA) 회장은 “바이든 행정부가 발동한 '사이버보안을 위한 행정명령(EO 14028)'을 주목하고 따라야 한다”고 강조한 바 있다. 

앞서 10월 26일에는 과학기술정보통신부와 한국인터넷진흥원(원장 이원태, 이하 ‘KISA’)이 보코서울강남 호텔에서 ‘제로트러스트•공급망 보안 포럼 발족식’을 개최하는 등 미 정부의 행정명령에 대처하기 시작했다.

드로 다비도프(Dror Davidoff) 아쿠아 시큐리티 CEO 겸 공동 창업자는 “이번 행정 명령은 글로벌 소프트웨어 공급업체에 막대한 영향을 미친다. 미 정부에 판매하거나 정부와 거래하는 기업에 소프트웨어를 판매한다면 명령 준수를 입증해야 한다”며 “소프트웨어 공급망 공격이 고도화되고 규모가 커짐에 따라 민간 부문은 반드시 선제적 사이버보안 조처를 취해야 한다. EO 14028은 미국 정부가 사이버 사고를 예방하려는 중요하고 대담한 조처”라고 밝혔다.

2022년 9월, EO 14028에 이어 공개된 ‘소프트웨어 개발 관행을 통한 소프트웨어 공급망 보안 강화(Enhancing the Security of the Software Supply Chain through Secure Software Development Practices)’라는 메모에서 기관들이 구매하는 (또 이미 구매한) 소프트웨어가 EO를 준수해야 하는 유효일을 열거하고 있다. 

- 2023년 1월 12일까지 – 기관 CIO가 벤더에게 요건을 전달
- 2023년 6월 11일까지 – 중요 소프트웨어에 대해 준수 증명서 취합 
- 2023년 9월 14일까지 – 모든 소프트웨어에 대해 준수 증명서 취합

 
◆아쿠아로 행정명령(EO) 및 소프트웨어 품목명세서(SBOM) 준수 = 아쿠아의 소프트웨어 공급망 보안(Software Supply Chain Security)은 전체 소프트웨어 개발 라이프사이클에 걸쳐 보호를 약속하는 유일한 포괄적 솔루션이며, 소프트웨어 제공업체가 EO 요건을 준수하고 증명하도록 지원한다.

이 솔루션은 구축 한 달 내에 기업이 준수 요건을 완수하도록 지원하며 초기 및 지속적 준수 증명을 위한 리포팅 및 관리 역량을 포함한다. 

구체적으로 다음을 통해 EO 14028 준수를 보장한다. 

- 수반되는 증명을 통해 개발 환경의 안전한 구성을 보장(섹션 4e i-ii)
- 수반되는 증명을 통해 코드의 출처를 신뢰할 수 있고 코드 취약점이 교정됐음을 증명(섹션 4e iii-v)
- 내부 및 써드파티 코드에 대해 기원(provenance) 데이터를 관리하고, 출시되는 제품별로 SBOM 확보(섹션 4e vi-vii)
- 수반되는 증명을 통해 안전한 개발 프로세스를 유지(섹션 4e ix).
- 수반되는 증명을 통해 데이터 정합성 및 사용 중인 오픈소스 소프트웨어의 기원 유지(섹션 4e x)

다비도프 CEO는 “시간이 가고 있다. 명령 준수 기한이 약 10개월 밖에 남지 않았다. 아쿠아는 소프트웨어 벤더가 준수 요건을 쉽게 충족하도록 해 줄 뿐만 아니라 소프트웨어 공급망 공격을 예방할 수 있다는 자신감을 갖게 해 준다”고 말했다.  

<김동기 기자>kdk@bikorea.net

< 저작권자 © BI KOREA 무단전재 및 재배포금지 >
김동기 기자의 다른기사 보기  
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
트위터 페이스북 미투데이 요즘 네이버 구글 msn 뒤로가기 위로가기
이 기사에 대한 댓글 이야기 (0)
자동등록방지용 코드를 입력하세요!   
확인
- 200자까지 쓰실 수 있습니다. (현재 0 byte / 최대 400byte)
- 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
이 기사에 대한 댓글 이야기 (0)
1
‘사면초가’ OK저축은행 차세대 ‘일단 중지’…폐기될 수도
2
‘UBI 자동차보험 IT솔루션’ 국내 확대
3
하나금융그룹, ‘2023 3대 전략과제’ 발표
4
베트남우리은행, 법인 설립 이후 최대실적 달성
5
국민은행, ‘세금 아낌이’ 출시
6
하나은행, ‘2023 대한민국 최우수 무역금융 은행상’ 수상
7
우리은행, ‘2023년 상반기 경영전략회의’ 개최
8
미디어로그-GS25, ‘중고폰 수거’ 협력
9
국민은행, 취약계층에 난방비 5억 긴급 지원
10
컴볼트, ‘2023 사이버 보안 위협’ 전망 발표
회사소개기사제보광고문의불편신고개인정보취급방침청소년보호정책이메일무단수집거부
서울시 영등포구 여의대방로65길 13, 904(여의도동 유창빌딩)| Tel: 02-785-5108 | Fax 02-785-5109
이메일주소무단수집거부 | (주)비아이코리아닷넷 | 대표이사 : 김동기 | 사업자 등록번호:107-87-99085 | 개인정보관리책임자 : 김동기
등록번호 : 서울 아01269 | 등록일자 : 신고일자 2008.10.22 | 발행인:김동기 | 발행일자:2010.06.01 | 편집인 : 김동기 | 청소년보호책임자 : 김동기
Copyright © 2012 BI KOREA. All rights reserved. mail to webmaster@bikorea.net