미국 정부는 최근 발표한 사이버 보안 행정 명령을 통해 국가의 사이버 방어를 강화하고 혁신을 촉진하기 위한 새로운 조치를 도입했습니다. 이 행정 명령은 중대한 사이버 위협에 대응하고, 연방 정부와 민간 부문에서 사용되는 소프트웨어의 안전성을 강화하는 데 중점을 두고 있습니다.
특히, 중국과 같은 적대 국가로부터의 지속적인 사이버 위협에 맞서기 위한 조치들이 포함되어 있습니다.
주요 내용은 다음과 같습니다:
사이버 보안 혁신 촉진: 미국은 소프트웨어 공급업체들이 안전한 소프트웨어 개발 관행을 증명하도록 요구하며, 이를 검증하여 민간 부문의 안전한 소프트웨어 선택을 지원할 계획입니다.
사이버 보안 위협 대응 강화: 국가표준기술원(NIST)은 안전하고 신뢰할 수 있는 소프트웨어 업데이트 방법에 대한 지침을 개발할 예정입니다.
AI 기반 사이버 보안 도구 연구: 연방 정부는 AI를 활용하여 소프트웨어 취약성을 검색하고 위협을 탐지하는 등의 사이버 방어 도구 개발에 착수할 예정입니다.
최소 사이버 보안 기준 설정: 연방 정부와 협력하는 기업들에 대한 최소 사이버 보안 기준을 설정하여, 사이버 위협에 대한 방어력을 강화합니다.
이 행정 명령은 또한 최근 Salt Typhoon과 Beyond Trust 사건을 포함한 일련의 사이버 공격에 대한 대응으로 제정되었습니다.
이 조치들을 통해 미국은 자국의 사이버 보안을 강화하고, 민간 부문과의 협력을 통해 보다 안전한 디지털 환경을 조성하려 합니다.
1. 보안 정책 수립 * 정책 작성: 조직의 보안 목표와 원칙을 정의한 보안 정책을 작성합니다. * 승인: 최고 경영진의 승인을 받아 정책을 공식화합니다. * 배포: 모든 직원에게 정책을 공유하고 이해시킵니다. 2. 조직 구성 * 보안 책임자 지정: 보안 담당 부서와 책임자를 명확히 지정합니다. * 역할 및 책임 정의: 각 부서의 역할과 책임을 문서화하여 명확히 합니다. 3. 교육 및 훈련 * 교육 프로그램 개발: SW 공급망 보안에 대한 교육 프로그램을 개발합니다. * 정기 교육 실시: 모든 직원에게 정기적으로 교육을 실시하고 훈련을 제공합니다.
2. SBOM (소프트웨어 자재명세서) 관리
1. SBOM 생성 및 유지 * SBOM 생성: 소프트웨어 개발 시 각 구성 요소의 SBOM을 생성합니다. * 업데이트: 소프트웨어 변경 시 SBOM을 업데이트하여 최신 상태를 유지합니다. 2. 보안 점검 * 정기 점검: SBOM을 활용하여 정기적으로 소프트웨어의 보안 취약점을 점검합니다. * 취약점 대응: 발견된 보안 취약점에 대해 즉각적인 조치를 취합니다. 3. 자동화 도구 사용 * 도구 도입: SBOM 생성 및 관리를 자동화할 수 있는 도구를 도입합니다. * 자동화 설정: 자동화 도구의 설정을 최적화하여 효율성을 높입니다.
3. 공급업체 보안 관리
1. 평가 기준 수립 * 기준 정의: 공급업체의 보안 수준을 평가하기 위한 명확한 기준을 설정합니다. * 문서화: 평가 기준을 문서화하여 공급업체와 공유합니다. 2. 정기 평가 * 평가 실시: 정기적으로 공급업체의 보안 상태를 평가합니다. * 결과 분석: 평가 결과를 분석하고 개선이 필요한 부분을 식별합니다. 3. 계약서 보안 조항 * 보안 요구사항 포함: 공급업체와의 계약서에 보안 요구사항을 명시합니다. * 준수 확인: 계약 이행 과정에서 보안 요구사항의 준수 여부를 확인합니다.
4. 정보 공유 및 협력
1. 정보 공유 체계 구축 * 내부 체계 마련: 내부적으로 보안 정보를 공유할 수 있는 체계를 마련합니다. * 정보 보호: 공유되는 정보의 기밀성을 유지하기 위한 보호 조치를 실시합니다. 2. 외부 협력 강화 * 협력 관계 구축: 정부, 산업 협회, 관련 기관과 협력 관계를 구축합니다. * 정보 교류: 최신 보안 정보를 주기적으로 교류합니다. 3. 신뢰 기반 정보 공유 * 신뢰 구축: 공급망 참여자 간 신뢰를 구축하여 안전하게 정보를 공유할 수 있도록 합니다.
5. 보안 사고 대응 계획
1. 사고 대응 팀 구성 * 팀 구성: 보안 사고 발생 시 즉각 대응할 수 있는 팀을 구성합니다. * 역할 분담: 팀 내 각자의 역할을 명확히 분담합니다. 2. 대응 절차 수립 * 절차 정의: 사고 발생 시 따라야 할 대응 절차를 명확히 정의합니다. * 절차 교육: 관련자에게 대응 절차를 교육하고 숙지시킵니다. 3. 모의 훈련 * 훈련 계획 수립: 정기적으로 보안 사고 대응 모의 훈련을 계획합니다. * 훈련 실시: 모의 훈련을 실시하여 대응 능력을 점검하고 개선합니다.
6. 지속적인 개선
1. 정기 평가 * 평가 계획 수립: 보안 관리 체계를 정기적으로 평가하기 위한 계획을 수립합니다. * 실시: 계획에 따라 정기 평가를 실시하고 결과를 분석합니다. 2. 피드백 수집 * 피드백 요청: 내부 및 외부 이해관계자로부터 피드백을 수집합니다. * 반영: 수집된 피드백을 반영하여 보안 관리 체계를 개선합니다. 3. 최신 동향 반영 * 동향 파악: 최신 보안 위협과 기술 동향을 지속적으로 파악합니다. * 업데이트: 파악한 동향을 보안 관리 체계에 반영하여 업데이트합니다.
이상으로 SW 공급망보안 가이드라인 1.0의 주요 내용을 해설했습니다.
기업들은 이 가이드라인을 기반으로 자사의 공급망 보안을 강화하고,
안정적인 운영 환경을 유지하기 위해 노력해야 합니다.
지속적인 보안 관리와 개선을 통해 잠재적 위협에 대비하고, 안정적인 공급망을 구축할 수 있습니다.
