JD Securtiry Expert

SW 공급망보안 가이드라인 1.0은 기업들이 공급망 보안을 강화하기 위해

지켜야 할 주요 원칙과 실천 사항을 제시합니다.

이 가이드라인을 통해 기업들은 자신들의 공급망을 보다 안전하게 보호하고, 

잠재적인 위협으로부터 방어할 수 있습니다. 

이 문서에서는 가이드라인의 주요 내용을 세밀하게 해설하고, 

기업들이 각 원칙을 어떻게 적용해야 하는지 알아보겠습니다.

1. SW 공급망 보안 관리 체계 구축

1. 보안 정책 수립
    * 정책 작성: 조직의 보안 목표와 원칙을 정의한 보안 정책을 작성합니다.
    * 승인: 최고 경영진의 승인을 받아 정책을 공식화합니다.
    * 배포: 모든 직원에게 정책을 공유하고 이해시킵니다.
2. 조직 구성
    * 보안 책임자 지정: 보안 담당 부서와 책임자를 명확히 지정합니다.
    * 역할 및 책임 정의: 각 부서의 역할과 책임을 문서화하여 명확히 합니다.
3. 교육 및 훈련
    * 교육 프로그램 개발: SW 공급망 보안에 대한 교육 프로그램을 개발합니다.
    * 정기 교육 실시: 모든 직원에게 정기적으로 교육을 실시하고 훈련을 제공합니다.

2. SBOM (소프트웨어 자재명세서) 관리

1. SBOM 생성 및 유지
    * SBOM 생성: 소프트웨어 개발 시 각 구성 요소의 SBOM을 생성합니다.
    * 업데이트: 소프트웨어 변경 시 SBOM을 업데이트하여 최신 상태를 유지합니다.
2. 보안 점검
    * 정기 점검: SBOM을 활용하여 정기적으로 소프트웨어의 보안 취약점을 점검합니다.
    * 취약점 대응: 발견된 보안 취약점에 대해 즉각적인 조치를 취합니다.
3. 자동화 도구 사용
    * 도구 도입: SBOM 생성 및 관리를 자동화할 수 있는 도구를 도입합니다.
    * 자동화 설정: 자동화 도구의 설정을 최적화하여 효율성을 높입니다.

3. 공급업체 보안 관리

1. 평가 기준 수립
    * 기준 정의: 공급업체의 보안 수준을 평가하기 위한 명확한 기준을 설정합니다.
    * 문서화: 평가 기준을 문서화하여 공급업체와 공유합니다.
2. 정기 평가
    * 평가 실시: 정기적으로 공급업체의 보안 상태를 평가합니다.
    * 결과 분석: 평가 결과를 분석하고 개선이 필요한 부분을 식별합니다.
3. 계약서 보안 조항
    * 보안 요구사항 포함: 공급업체와의 계약서에 보안 요구사항을 명시합니다.
    * 준수 확인: 계약 이행 과정에서 보안 요구사항의 준수 여부를 확인합니다.

4. 정보 공유 및 협력

1. 정보 공유 체계 구축
    * 내부 체계 마련: 내부적으로 보안 정보를 공유할 수 있는 체계를 마련합니다.
    * 정보 보호: 공유되는 정보의 기밀성을 유지하기 위한 보호 조치를 실시합니다.
2. 외부 협력 강화
    * 협력 관계 구축: 정부, 산업 협회, 관련 기관과 협력 관계를 구축합니다.
    * 정보 교류: 최신 보안 정보를 주기적으로 교류합니다.
3. 신뢰 기반 정보 공유
    * 신뢰 구축: 공급망 참여자 간 신뢰를 구축하여 안전하게 정보를 공유할 수 있도록 합니다.

5. 보안 사고 대응 계획

1. 사고 대응 팀 구성
    * 팀 구성: 보안 사고 발생 시 즉각 대응할 수 있는 팀을 구성합니다.
    * 역할 분담: 팀 내 각자의 역할을 명확히 분담합니다.
2. 대응 절차 수립
    * 절차 정의: 사고 발생 시 따라야 할 대응 절차를 명확히 정의합니다.
    * 절차 교육: 관련자에게 대응 절차를 교육하고 숙지시킵니다.
3. 모의 훈련
    * 훈련 계획 수립: 정기적으로 보안 사고 대응 모의 훈련을 계획합니다.
    * 훈련 실시: 모의 훈련을 실시하여 대응 능력을 점검하고 개선합니다.

6. 지속적인 개선

1. 정기 평가
    * 평가 계획 수립: 보안 관리 체계를 정기적으로 평가하기 위한 계획을 수립합니다.
    * 실시: 계획에 따라 정기 평가를 실시하고 결과를 분석합니다.
2. 피드백 수집
    * 피드백 요청: 내부 및 외부 이해관계자로부터 피드백을 수집합니다.
    * 반영: 수집된 피드백을 반영하여 보안 관리 체계를 개선합니다.
3. 최신 동향 반영
    * 동향 파악: 최신 보안 위협과 기술 동향을 지속적으로 파악합니다.
    * 업데이트: 파악한 동향을 보안 관리 체계에 반영하여 업데이트합니다.

이상으로 SW 공급망보안 가이드라인 1.0의 주요 내용을 해설했습니다.

기업들은 이 가이드라인을 기반으로 자사의 공급망 보안을 강화하고,

안정적인 운영 환경을 유지하기 위해 노력해야 합니다.

지속적인 보안 관리와 개선을 통해 잠재적 위협에 대비하고, 안정적인 공급망을 구축할 수 있습니다​.

궁금하신 사항은 댓글에 남겨주세요

댓글에 남겨주신 내용은

추후 정리해서 올려드리겠습니다

구독 신청하시면 업로드 시 알려드릴게요!

-

조금이라도 도움이 되셨다면

공감&댓글 부탁드리겠습니다

감사합니다!

최근 소프트웨어 개발 도구의 보안에 대한 관심이 증가하고 있습니다.

특히, 오픈소스 컴포넌트를 사용하는 도구들이 많아지면서

이러한 컴포넌트들에서 발견되는 취약점에 대한 우려도 함께 커지고 있습니다.

이 글은 유명한 코드 에디터의 오픈소스 컴포넌트에서 발견된 취약점에 대해 이야기합니다.

이 코드 에디터는 전 세계 개발자들 사이에서 널리 사용되고 있으며,

특히 그중 하나의 컴포넌트가 포함하고 있는 오래된 브라우저의 버전에서 발견된

여러 보안 취약점이 아직까지 해결되지 않은 채 업데이트되고 있습니다.

이러한 취약점들은 실제 공격에서 이미 이용된 바 있으며,

이를 통해 원격 코드 실행, 정보 유출, 서비스 거부 등 다양한 보안 위협이 가능해집니다.

이는 사용자의 시스템 보안을 심각하게 위협할 수 있습니다.

처음 확인이 된 (글쓴이는 해당 버전에서 처음 식별했습니다.) 1.85.2 버전부터

2024년 4월 4일 현재 사이트에서 배포 중인 1.87.2 버전에 이르기까지,

exten****. js 파일에 포함된 Fire*** 71.0 오픈소스 컴포넌트에서

5 가지 치명적인 오픈소스 취약점이 여전히 해결되지 않은 채 업데이트되고 있습니다.

5가지의 취약점 코드와 내용은 아래와 같으며,

CISA가 관리하는 알려진 이용된 취약점(KEV) 카탈로그에서 발췌하였습니다.

KEV는 미국 CiSA가 실제 공격에서 이용된 취약점들을 나열한 권위 있는 자료입니다.

이 카탈로그는 조직들이 취약점 관리를 우선순위에 두고 사이버 보안 조치를 강화하는 데 중요한 입력 정보를 제공합니다.

자세한 정보는 CISA 공식 웹사이트에서 확인할 수 있습니다​ (CISA)​.

https://www.cisa.gov/known-exploited-vulnerabilities-catalog

자세한 취약점에 대한 정보는 아래 링크를 통해 확인해 주세요

https://nvd.nist.gov/vuln

해당 취약점 5가지는 코드 에디터에 포함된 exten****. js 파일에

오픈소스 컴포넌트인 Fire*** 71.0에 포함되어 있으며,

이미 해커에게 공격당하여 빠르게 패치를 하라고 권고한 취약점입니다.

아래는 exten****. js 파일이 해당 코드 에디터에서 어떤 역할을 하는지 인공지능 챗 지피티에게 문의해 봤습니다.

추가적으로 ChatGPT는 해당 이슈에 대해 이렇게 이야기하고 있습니다.

현재 제 주변에 있는 모든 개발자가 해당 소프트웨어를 사용 중에 있습니다.

이는 엄청난 취약점이며, 고쳐져야 하는 사안으로

제 지인에게는 다른 개발 도구를 추천드리고 있습니다.

소프트웨어의 보안은 그 어느 때보다 중요하며,

특히 오픈소스 컴포넌트의 취약점은 개발자와 사용자 모두에게 심각한 위협이 될 수 있습니다.

오픈소스 컴포넌트의 취약점을 주의 깊게 관리하는 것은 소프트웨어 개발의 중요한 부분입니다.

주변 친구들이 해당 소프트웨어를 사용 중이라면 해당 내용을 공유해 주시길 바랍니다.

사용 중인 도구들이 최신 상태로 유지되고 보안 위협으로부터 보호되도록,

적극적으로 패치 적용과 보안 권장 사항을 따르는 것이 필수적입니다.

이런 실천을 통해 우리는 더 안전한 디지털 환경을 조성할 수 있습니다.

해당 이슈에 대해서는 고객센터 팀에게 위와 같이 메일을 보내 놓은 상태입니다.

궁금하신 사항은 댓글에 남겨주세요

댓글에 남겨주신 내용은

추후 정리해서 올려드리겠습니다

구독 신청하시면 업로드 시 알려드릴게요!

-

조금이라도 도움이 되셨다면

공감&댓글 부탁드리겠습니다

감사합니다!

메타 스레드의 세상
가상 세계와 현실 세계가 만나는 경계를 넘나들다??

최근 디지털 혁신과 메타버스의 열풍이 불고 있는 가운데

메타(Meta)에서 만든 스레드(Thread)가 큰 관심을 받고 있습니다.

이 글을 통해 메타 스레드에 대해 알아보며

가상 세계와 현실 세계 사이에서 어떻게 활약하는지 알아볼까요?

스레드는 마크 저커버그의 메타에서 발표한 텍스트 기반의 서비스로 콘텐츠를 공유하고

공개 대화에 참여하는 형태의 SNS입니다.

스레드는 검색어 "Threads"로 검색해서 다운로드할 수 있으며,

인스타그램 아이디가 없으면 사용할 수 없으며 이 때문에 회원가입 절차도 없는 것이 특징입니다.

스레드가 뭐지? 라는 의문은 트위터를 생각하시면 편한데요,

페이스북은 사진과 글 싸이월드와 유사한 담벼락 기능을 모두 합친 SNS였다면,

인스타그램은 사진 중심으로 피드를 구성하고 댓글로 소통하는 SNS이며

스레드는 트위터와 유사하게 글 기반의 SNS로 인스타그램 감성에 적응하기 어려웠거나

텍스트 기반의 채널을 좋아하신 분들에게는 쉬운 접근성을 가지고 있습니다.

그렇다면 과연 가상 세계에서 개인 정보와 통신은 어떤 보안 방법을 채택하여 보호되고있을까요?

메타(Meta)에서 만든 스레드(Thread)

가상 세계의 철벽 보안 시스템

글로벌 메타버스 폭발 속에서 메타 스레드가 큰 관심을 받고 있는 가운데,

메타 스레드의 핵심 보안 기술 중 하나인 통신 암호화에 대해 알아보려 합니다.

먼저, 통신 암호화란 무엇을 의미하는지 아셔야 하는데요

간단하게 말해, 통신 암호화는 중요한 정보를 누구에게도 알려지지 않게 전달하기 위해 사용되는 기술입니다.

메타 스레드에서는 사용자들의 정보와 주고받는 데이터를 안전하게 보호하기 위해 최신 암호화 기술과 보안 프로토콜을 활용하고 있습니다.

그렇다면 메타 스레드에서는 어떤 암호화 기술이 사용될까요?

메타 스레드에서는 대표적으로 두 가지 암호화 기술이 활용됩니다.

대칭키, 공개키, 암호화

스레드 서비스에서는 이러한 암호화 기법을 사용하여 사용자의 개인정보와 통신을 보호합니다.

사실 이 개념을 이해하려면 따로 시간을 내시어 대칭키와 비대칭키, 공개키, 개인키, 암호화, 복호화에 대해 알고 계셔야 하는데,

제가 아래 글을 작성 중이니 글이 작성되면 한번 개념을 보시는 게 좋을 것 같네요

(작성 중)

메타 스레드는 미래의 암호화 기술인 양자 암호화의 상용화에 대비하여 기술적 준비를 하고 있습니다.

이 양자 암호화 기술은 기존의 암호화 방식보다 훨씬 더 강력한 보안을 제공할 것으로 기대되며,

해킹으로부터 완벽한 보호를 가능하게 할 것입니다.

이러한 기술적 진보는 메타 스레드 사용자들의 데이터 보호에 크게 기여할 것으로 예상됩니다.

이와 같은 기술적 진보는 메타 스레드의 암호화 기술이 지속적으로 업데이트되고 개선되고 있음을 보여줍니다.

사용자들은 이러한 끊임없는 기술적 발전을 통해 안전하고 신뢰할 수 있는 서비스를 이용할 수 있게 되며,

이는 사용자들에게 지속적인 관심과 신뢰를 받는 기반을 마련합니다.

메타 스레드는 이러한 노력을 통해 사용자의 개인정보와 통신을 보호하고,

미래 지향적인 기술 개발에 앞장서고 있습니다.

단점
인스타그램의 '스레드(Threads)' 앱은 혁신적인 소셜 네트워킹 접근 방식을 취하고 있지만,
사용자들이 알아야 주요 단점이 있습니다

계정 삭제 제한
스레드에서 사용자는 자신의 스레드 계정 데이터를 삭제할 수 없으며, 인스타그램 계정을 삭제해야만 합니다.
스레드와 인스타그램 계정 간의 연동은 스레드를 사용하지 않기를 원하는 사용자들에게 프라이버시 문제를 일으킬 수 있습니다
그러므로 스레드를 지속적으로 사용하지 않는다면 스레드의 사용은 처음부터 신중하게 판단해야 합니다.

궁금하신 사항은 댓글에 남겨주세요

댓글에 남겨주신 내용은

추후 정리해서 올려드리겠습니다

이웃 신청하시면 업로드 시 알려드릴게요!

-

조금이라도 도움이 되셨다면

공감&댓글 부탁드리겠습니다

감사합니다!

이번 업데이트 내용 중 주목해야 될 부분은 “신속 보안 대응”입니다.

이 글에서는 해당 업데이트 사항에 대해 자세히 알아보고자 합니다.

과연 어떤 내용인지 자세하게 알아보겠습니다.

긴급 패치(신속 보안 대응)이란 무엇인가요?

긴급 패치 (신속 보안 대응)이란 애플 공식 홈페이지 설명에 따르면 긴급상황 발생 시 

앱스토어 및 아이튠즈 스토어 이용 시 빠르게 대응하기 위한 서비스라고 합니다.

예를 들어 해커가 악성코드를 심어서 앱 다운로드나 결제를 유도하면 이를 감지하여 계정 보호 조치를 취하는 방식이죠.

기존에는 이러한 상황 발생 시 개발자가 직접 신고하거나 수동으로 처리했기 때문에 

시간이 오래 걸렸지만 이제는 실시간으로 대처가 가능해졌습니다.

iOS 16.4.1 업데이트 내용

• 웹킷에서 발생하는 임의의 코드 실행 취약점
• 메시지 앱에서 발생하는 원격 코드 실행 취약점
• 사파리에서 발생하는 개인 정보 유출 취약점
• 애플 페이에서 발생하는 결제 인증 우회 취약점

이번 신속 보안 대응 패치에 대한 애플 공식 홈페이지 설명은 다음과 같습니다.

이번 업데이트는 아이폰의 웹킷(WebKit)과 코어 그래픽스(CoreGraphics)에서 발견된 취약점을 수정합니다.
웹킷은 아이폰의 기본 브라우저인 사파리(Safari)와 다른 앱에서 웹 콘텐츠를 표시하는 엔진입니다.
코어 그래픽스는 아이폰의 그래픽 처리를 담당하는 프레임워크입니다.
이 두 취약점은 악의적인 웹 페이지나 이미지 파일을 통해 원격으로 임의의 코드를 실행할 수 있는 위험을 내포하고 있습니다.

CVE-2023-28205
CVE-2023-28206

업데이트 방법은 어떻게 되나요?

별도의 다운로드 없이 설정 > 일반 > 소프트웨어 업데이트 항목에서 수동으로 설치하면 됩니다.

만약 이미 기존 버전 OS 가 설치되어 있다면 재부팅 후 다시 시도하면 됩니다.

iOS 16.4.1은 아이폰의 보안을 강화하고 안전한 사용 환경을 제공하기 위한 중요한 업데이트입니다.
아이폰 사용자들은 이번 업데이트를 놓치지 마시고, 항상 최신 버전의 iOS를 유지하시기 바랍니다.
​
지금까지 살펴본 바와 같이 현재 많은 부분에서 개선되고 있지만 아직까지도 완벽하게 안전하진 않습니다.
그러니 항상 주의 깊게 살펴보고 조금이라도 이상하다 싶으면 즉시 조치를 취하는 습관을 기르도록 하는 것이 중요할 것 같습니다.
이번 업데이트 이후 많은 사람들이 해킹으로부터 안전해질지 기대됩니다.
하지만 완벽한 보안은 없기 때문에 주기적인 비밀번호 변경 등 개인정보보호를 위해 개인이 노력해야겠습니다.