• 디지털융복합연구
• /
• 제20권2호
• /
• pp.9-20
• /
• 2022

공급망 공격은 주요기반시설을 타겟하여 피해 규모가 크고 공공 안전 및 국가안보를 위협하는 요소로 진화하고 있다. 이에 사이버안보 전략 및 정책 수립 시 공급망 위험관리를 명시하여 보안성을 제고하고 있으며, 2021년 미(美) 바이든 행정부가 발표한 국가 사이버안보 강화를 위한 행정명령에서는 소프트웨어 공급망 보안 강화를 위한 지침 중 일부로 SBOM을 언급하였다. 정부 차원에서 SBOM을 의무화하여 공급망 보안 검증 도구로 활용한다면, 향후 국내 조달체계에도 영향을 받을 수 있으며 정책 시행 경과에 따라 국내 공급망 보안 체계 수립 시에도 참고 가능할 것으로 보인다. 이에 따라 본 논문에서는 소프트웨어 공급망 보안 강화 방안으로써 SBOM 정책을 추진 중인 국가를 선정하여 관련 사례를 중점으로 분석하였다. 또한, 국외 SBOM 정책 동향의 비교·분석을 통하여 국내 SBOM 도입 시 기술, 정책, 법률측면에서의 활용 방안을 고찰하였다. 향후 공급망 무결성·투명성 검증 도구로 SBOM의 활용 가치가 기대되는바 SBOM에 대한 국제적 표준화 정립 및 정책 개발에 관한 지속적인 동향 파악과 표준 형식 개발 연구가 요구된다.

• 문화기술의 융합
• /
• 제10권3호
• /
• pp.279-288
• /
• 2024

ICT의 발달과 함께 기업에서는 정보교환 또는 운영관리를 위해 소프트웨어를 필수적으로 사용하게 되었다. 그러나 ICT의 발달과 함께 증가한 보안 및 소프트웨어 관리이슈는 지속해서 해결해나가야 할 문제이다. 2021년 미국에서는 이러한 소프트웨어 보안 대응책 중 하나로 SBOM을 정부주도하에 표준화 및 제도를 수립하였다. 본 연구는 이러한 SBOM이 국내에 도입되기 위한 초석을 마련하는 연구로서 시작되었다. SBOM의 대표적인 특징들이 도입 의도에 미치는 영향을 바탕으로 경영층 지원과 제도적 지원을 조절 변수로 검증하였다. 그 결과, 경영층 지원으로는 보안관리가 유의미한 조절 변수로 나타났으며, 정부의 제도적 지원에서는 투명성이 유의미한 조절 변수로 나타났다. SBOM을 도입하기 위해서는 기업과 정부의 노력이 함께 이루어져야 하는데, 각 관점에서 중요하게 여기는 변수가 다르다는 것을 검증한 것이다. 본 연구가 SBOM의 발전과 도입에 기여하길 바라는 바이다.

• 문화기술의 융합
• /
• 제9권5호
• /
• pp.463-474
• /
• 2023

기술의 발전은 기업 간 손쉬운 정보공유 및 협업을 가능하게 하였다. 그러나 여러 주체가 정보를 공유하며 접속하는 협업을 위한 시스템은 보안에 취약할 수밖에 없다. SBOM은 소프트웨어 프로그램의 구성요소를 파악하고 투명하게 관리하여 정보보안을 강화하는 방안으로 소프트웨어 자재명세서(Software Bill Of Materials, SBOM)라는 개념으로 등장하였다. 본 연구는 이러한 SBOM의 국내 도입을 촉진하고자 협업시스템 담당자들을 대상으로 도입 의도를 연구하였다. 본 연구는 계획된 행동이론과 통합기술수용이론을 기반으로 하였다. 본 연구 결과, SBOM 도입으로 인한 성과기대가 도입 의도에 미치는 중요한 변수였으며, 보안에 대한 긍정적인 태도 또한 성과기대를 매개하여 간접효과를 나타내는 것으로 확인하였다. SBOM의 도입이 기업을 대상으로 한다는 특성상 성과와 중요한 인과관계가 있으며, 보안에 대한 긍정적인 태도나 사회적 분위기로 도입 의도에 강한 영향을 줄 수 있다는 것을 확인하였다.

• 정보보호학회지
• /
• 제32권5호
• /
• pp.7-14
• /
• 2022

2021년에 발생한 일련의 소프트웨어 공급망 공격으로 미국 연방 정부의 사이버보안 개선 정책이 가속됐다. 이중 소프트웨어 구성 정보를 유통하는 SBOM 정책은 SW 구성요소의 투명성을 강화하여, 이를 활용하는 공급자와 수요자의 보안 인식 개선에도 도움을 줄 것이 기대된다. 다만 SBOM으로 공급망 보안 위협을 완화하려면 해결해야 할 기술적 이슈가 있고, SBOM 수집자를 위한 구체적인 가이드도 마련되지 않아 제도 정착에는 시간이 걸린다. SW 공급망 문제는 SW 개발 관행에 대한 지속적인 개선이 요구되며, 글로벌 연쇄 위험으로 결코 혼자서는 해결할 수 없다. 따라서 우리는 실태조사, 실증사업 등을 시작으로 현실에 맞는 정책을 먼저 적용하고, 제도적 조화를 위한 국제협력에도 힘써야 한다.

• 전자통신동향분석
• /
• 제38권4호
• /
• pp.81-94
• /
• 2023

The increased adoption of open source security management in supply chains is gaining worldwide attention. In particular, as security and threatening situations, such as solar winds, Kaseya ransomware, and Log4j vulnerability, are becoming more common in supply chains using software (SW)-defined networks, SW bills of materials (SBOMs) for SW products should be prepared to protect major countries like the United States. An SBOM provides SW component information and is expected to become required for SW supply chain management. We focus on SW supply chain management policies and SBOM trends in major countries and private organizations worldwide for safe SW use and determine the current status of Korea and ETRI's open source SW supply chain management trends.

• 정보보호학회지
• /
• 제32권5호
• /
• pp.27-34
• /
• 2022

2021년 5월 12일, 미(美) 바이든 행정부는 소프트웨어 공급망 보안 강화를 위한 대통령 행정명령 14028을 발표하였다. 이후 연방정부에 납품하는 핵심 소프트웨어에 대해 SBOM(Software bill of materials) 제출이 의무화됨에 따라, 2021년 하반기부터 소프트웨어 공급망 관리를 위한 다양한 솔루션이 빠르게 개발되고 있다. 하지만 활발한 연구 및 산업화가 이루어지고 있는 글로벌 정세와 달리, 국내 산업은 상대적으로 더딘 실정이다. 이에 따라 본 논문에서는 소프트웨어 공급망 및 SBOM 관리를 제공하고 있는 글로벌 기업과 해당 솔루션에 대해 소개한다. 향후 국내 시장도 소프트웨어 공급망 보안 강화를 위해 SBOM 관리 의무화가 예상되는바 관련 솔루션의 개발 연구가 요구된다.

• 정보보호학회지
• /
• 제32권5호
• /
• pp.53-66
• /
• 2022

최근 몇 년 동안 엄청난 양의 데이터 혁신이 진행되어왔고, 그에 따라 소프트웨어 개발의 편리성을 위해 오픈소스를 사용하는 경우가 많아졌다. 이로 인해 소프트웨어 생산성 측면에서는 많은 도움이 되었지만, 보안 관점에서는 많은 문제를 야기했다. 이러한 OSS 사용에 따른 위험을 줄이고자 OSS 추적성을 위한 도구를 사용하는 방법이 지속적으로 개발되었지만, 아직까지도 OSS 사용에 따른 위험은 증가하고 있다. 이에 본 논문은 OSS 추적성의 보완을 위한 SBOM(Software Bill of Materials)의 정의와 현재 국외 SBOM 추진 동향에 대해 소개하고자 한다.

• 정보보호학회논문지
• /
• 제34권2호
• /
• pp.229-244
• /
• 2024

최근 APR1400 노형과 같이 원자력발전소의 디지털 기술 적용에 따라 "이블 PLC"같은 원자력시설 대상의 공급망 공격이 증가하는 추세이다. 원자력 공급망 보안에 있어 산업 특성상 수많은 공급업체가 존재하기에 이를 체계적으로 관리할 수 있는 자원 관리 시스템이 필요하다. 하지만, 제어시스템 특성상 소프트웨어 자산의 긴 생명 주기로 인해 속성 정보가 일관되지 않게 관리된다는 문제점이 존재한다. 또한, 운영 환경의 가용성 문제로 인해 형상 관리 자동화 도입이 미흡한 상태에서 입력 오류와 같은 한계점이 존재한다. 본 연구에서는 SBOM(Software Bill Of Materials)을 적용한 체계적인 자산 관리 방안 및 자연어처리 기법을 적용한 입력 오류에 관한 개선 방안을 제안한다.

• 정보보호학회논문지
• /
• 제30권6호
• /
• pp.1189-1206
• /
• 2020

최근 ICT 기업은 제품과 서비스들을 직접 설계, 개발, 생산, 운용, 유지 보수, 폐기 등을 직접 수행하지 않고 이를 외부에 위탁하거나, 외주업체가 담당하는 경우가 많아지고 있다. 위탁과 재위탁되는 과정에서 제품 및 서비스에 대한 취약점 관리 어려움 등으로 이로 인해 발생하는 공격 또한 증가하는 추세이다. 이에 대응하기 위해 해외에서는 ICT 공급망 보안 위험관리를 위한 기준과 제도를 만들어 운영 중이며, 다양한 사례 연구를 진행하고 있다. 또한, SBOM(Software Bill of Materials)등 기술적으로 공급망 보안 문제를 해결하려는 연구도 진행하고 있다. ISO 등 국제표준화기구에서도 ICT 공급망 보안을 위한 기준과 프레임워크도 만들어졌다. 본 논문에서는 미국, EU 등 주요 국가와 국제표준으로 개발된 ICT 공급망 보안기준과 제도를 비교 분석하여 국내 실정에 적합한 ICT 공급망 보안 관리 항목을 제시하고 ICT 공급망 보안제도 수립을 위한 사이버 보안 프레임워크의 필요성을 설명한다.

• 정보보호학회논문지
• /
• 제33권6호
• /
• pp.989-1000
• /
• 2023

공급망 위협에 대응하기 위해 Secure Boot 등의 소프트웨어 위변조 방지 기술 및 SBOM(Software Bill of Materials) 등의 관리체계 개발 연구가 활발하게 이루어지고 있다. 특히 TCG(Trusted Computing Group)에서는 신뢰할 수 있고 안전한 컴퓨팅 부팅 환경을 제공할 수 있는 TPM(Trusted Platform Module) 표준을 제시하고 있다. 본 논문에서는 암호모듈이 공급망 위협에도 안전하고, 신뢰할 수 있는 기능을 제공할 수 있도록 암호모듈을 위한 안전한 부팅 기술 도입 필요성을 설명한다. 또한, ISO/IEC 19790 표준으로 검증된 암호모듈의 취약점을 분석하고, 취약점에 대응할 수 있도록 암호모듈의 안전한 부팅을 위한 보안 요구사항을 제안한다.