소프트와이드시큐리티가 이스라엘 보안 기업 체크막스와 밸류 애디드 리셀러(Value Added Reseller, VAR) 계약을 체결했다고 8일 밝혔다. 이번 VAR 파트너십을 통해 소프트와이드시큐리티는 소프트웨어 구성 분석(SCA) 솔루션을 기반으로 오픈소스 소프트웨어 공급망 보안(Supply Chain Security, SCS) 시장을 적극 공략할 예정이다. SW 공급망 공격은 과학기술정보통신부와 한국인터넷진흥원이 발표한 '2023년 사이버 보안 위협'과 '2024년 보안 위협 전망'에 모두 포함될 만큼 보안에 중요한 화두다. 오픈소스를 활용한 SW 개발이 보편화되면서 오픈소스 취약점을 이용한 SW 공급망 공격이 증가하고 피해가 확산되면서 중요성은 더욱 높아졌다. SW 공급망 공격은 취약점이 공개되고 패치되기 전까지 가장 집중적으로 일어나기 때문에 소프트웨어 구성 요소에서 취약점을 빠르게 파악하고 패치하는 것이 매우 중요하다. 체크막스는 SCA 솔루션을 통해 오픈소스의 취약점을 빠르게 파악하고 패치를 정확하게 수행할 수 있다. 또 SBOM(소프트웨어 자재 명세서)을 생성해 SW 공급망 피해를 예방할 수 있게 한다. 오픈소스 보안 취약점과 라이선스 위험을 관
현대오토에버가 소프트웨어 공급 생태계의 보안 수준을 끌어올리기 위해 앞장선다. 현대오토에버는 주요 협력사에 대한 보안 점검을 실시하고, 발견된 취약점에 대해 개선을 진행하고 있다고 5일 밝혔다. 최근 대기업의 강력한 보안 체계를 우회해 제3자를 통한 공급망 공격 시도가 많아지고 있다. 공급망 공격은 회사 시스템 및 데이터에 접속할 수 있는 외부 협력업체 소프트웨어 개발자나 공급업체 등을 통해 발생하는 사이버 공격을 뜻한다. 2019~2022년 소프트웨어 공급망에 대한 사이버 공격이 연평균 742% 증가했다는 업계 조사 결과도 나온다. 외부 협력사들은 상대적으로 약한 보안 체계를 가진 '약한 고리'로 여겨져 공급망 공격의 타깃이 되기 쉽다. 이런 배경에서 현대오토에버는 소프트웨어 공급 생태계 전반의 보안 수준을 끌어올리기 위해 지난해 17개 상주 협력사와 현대오토에버 내부망과 상시 연결된 12개 협력사 등 29개 협력사를 선정해 보안 점검을 진행했다. 이번 점검을 통해 협력사 보안 절차 개선과 악성코드 감염 예방을 개선 방향으로 설정하고 개선 활동을 진행하고 있다. 특히 재택·원격근무 확산 등 보안 환경의 변화에 따라 엔드포인트(Endpoint) 보안을 강화하
펌웨어 분석 기술 기반 BoM 추출 및 분석, 취약점 자동 탐지 기술 개발 융합 보안 전문기업 쿤텍은 한국전자통신연구원(ETRI)와 함께 하드웨어 공급망 보안 강화를 위해 기존의 펌웨어 분석 기술을 기반으로 BoM(Bill of Materials, 자재명세서) 추출 및 분석, 취약점 자동 탐지 기술을 추가 개발한다고 밝혔다. 기술 구현을 위해 구성되는 하드웨어가 복잡해지고 각 하드웨어 개발에 관여하는 공급업체가 증가하면서 공급망 전반의 보안 검증이 중요해졌다. 특히 TCP/IP 소프트웨어 라이브러리에 내재되어 있는 것으로 알려진 취약점인 리플20(Ripple20)과 같은 알려진 취약점(1-Day)의 경우 복잡한 공급망을 통해 다양한 산업 분야에서 광범위하게 악용될 수 있다. 하지만 이러한 취약점의 영향을 받는 자산을 식별하는 것은 쉽지 않다. 다양한 유형의 취약점에 대한 정보를 빠르게 분석하고 소프트웨어의 각 구성요소와 복잡한 계층 관계를 갖는 오픈소스에 대한 취약점을 제대로 관리하기 위해서는 하드웨어 및 소프트웨어의 구성 요소 목록인 BoM 분석을 기반으로 취약점을 자동 점검할 수 있어야 한다. 이에 쿤텍은 하드웨어에 내재된 취약점을 분석하여 5G 장비 보